如何伪装zip文件

如何伪装zip文件

 

需要用到的材料和工具

1、  待处理的特殊图片。下载地址：http://vdisk.weibo.com/s/z27nS083bQFOP

2、  Uedit32编辑器。下载地址：http://pan.baidu.com/s/1GeMhT

 

特别提醒，如果你解密出来了，可以得到QQ数据库的下载地址，如果地址失效，请在本篇博文留言。

 

首先我们下载了经过特殊处理的图片，这张图片经过了图片种子的处理，本人在图片文件的末尾添加了zip压缩包，制作图片种子的方法很简单，可参考该篇文章http://jingyan.baidu.com/article/ff42efa97df89cc19f22024e.html

然而本文并不主讲图片种子，我想已有人通过修改图片的后缀名马上得到压缩包文件，现在我们修改图片文件的后缀，把它修改成zip，用winRAR或者其他压缩工具即可打开，如下图，分别为winRAR、360压缩打开画面。

 

我们会发现两者不同，明显的在winRAR多出了一个download.txt文件夹，而这个文件夹将会是我们的主角。

现在我们打开Uedit32工具，把图片拖进到Uedit32编辑窗口将会以16进制的形式展示，如下图：

 

开头的这部分是一张图片的内容，我们拖动滑块移动最下方，我会发现另外一些内容，如下图：

 

图中所画的地方是不是很熟悉，其实他们对应的就是在压缩工具看到的文件和文件夹，共有两组，上半部分为File Entry Header，下半部分为File Header，详细zip文件结构可参看http://lib.yoekey.com/?p=236

现在我们迷惑的地方是为什么一个是文件夹一个是文件，我们在上图发现，画圈的部分和下划线的部分有一点不一样，那就是画圈的部分多了一个反斜杠“/”，正因为反斜杠，让压缩工具误以为文件夹，所以我们解压后只能得到文件夹，而文件并没有解压出来。

现在我们只需要把反斜杠修改成其他字符即可，我们可以在网上找到ASCII工具，输入下划线“_”得到16进制5f，这时我们只需要替换掉反斜杠的16进制2f即可，变成如下图的模样：

 

这时我们再次用压缩工具打开修改后的文件，就会发现多出了一个“download.txt_”文件，到此解压后就可以用记事本打开。

 

顺便提一下，当年风靡全国的熊猫烧香病毒，也是在了解PE文件结构后对其修改，让图标变成熊猫烧香的模样，那么为什么能够写出如此“牛”的病毒作者却不能在安全公司任职呢，首先熊猫烧香是一款应用级别的病毒，是一款病毒下载器。