火绒安全软件

标题: 【疑问终结者】视频文件到底会不会包含病毒？ [打印本页]

作者: 那天的流星 时间: 2021-7-12 23:04
标题: 【疑问终结者】视频文件到底会不会包含病毒？
被这个问题困扰了好久，网上也众说纷纭，没有详细统一的答案。

有没有大佬或者火绒官方人士出来终结一下此问题，视频文件是否会包含病毒？如果会，哪些后缀的可能包含？哪些后缀的一定不会包含？

作者: skystars 时间: 2021-7-13 11:47
视频文件可以包括病毒
比如说你有一个视频test.mp4，一个带病毒的压缩包a.zip
在cmd里面输入
copy /b test.mp4+a.zip test2.mp4

即生成了一个test2.mp4
表面上看是没有任何问题的，视频也能够正常播放
然而你把后缀改成.zip再解压
你会发现解压出来的是病毒

作者: 那天的流星 时间: 2021-7-13 18:18

skystars 发表于 2021-7-13 11:47
视频文件可以包括病毒
比如说你有一个视频test.mp4，一个带病毒的压缩包a.zip
在cmd里面输入

也就是说虽然里面包含病毒，如果不改后缀只是正常播放，并不会感染病毒？

作者: skystars 时间: 2021-7-13 18:21

那天的流星发表于 2021-7-13 18:18
也就是说虽然里面包含病毒，如果不改后缀只是正常播放，并不会感染病毒？ ...

嗯

作者: 梦幻的彼岸 时间: 2021-7-15 09:31
本帖最后由梦幻的彼岸于 2021-7-15 09:38 编辑

现在了解到的，还有这些方法：视频本身携带可执行脚本(例如内置脚本进行攻击），视频字幕携带恶意代码（利用解析器漏洞进行攻击），感觉还是比较危险的，对来源不明的视频最好在虚拟机内播放（虚拟机断网避免内部感染或下载恶意程序。

作者: huolongguo10 时间: 2021-7-15 11:27

梦幻的彼岸发表于 2021-7-15 09:31
现在了解到的，还有这些方法：视频本身携带可执行脚本(例如内置脚本进行攻击），视频字幕携带恶意代码（利 ...

txt没有第一条，不过notepad已经很完善了

作者: xiaomeng 时间: 2021-8-19 10:11

skystars 发表于 2021-7-13 11:47
视频文件可以包括病毒
比如说你有一个视频test.mp4，一个带病毒的压缩包a.zip
在cmd里面输入

我试了cmd，不能啊

不过在python中可以用.join的方法加你的方法才可以

作者: thought 时间: 2021-9-13 11:50

梦幻的彼岸发表于 2021-7-15 09:31
现在了解到的，还有这些方法：视频本身携带可执行脚本(例如内置脚本进行攻击），视频字幕携带恶意代码（利 ...

虚拟机也不是绝对安全的

作者: WLH 时间: 2021-10-2 17:54

梦幻的彼岸发表于 2021-7-15 09:31
现在了解到的，还有这些方法：视频本身携带可执行脚本(例如内置脚本进行攻击），视频字幕携带恶意代码（利 ...

问一下有没有什么程序可以监控进程，可以把它的调用什么的都分析出来的那种？

作者: lifan88 时间: 2021-10-2 18:01
5L已经正解了，纯视频文件打人基本都是0day

看雪发过种子torr文件到某雷的0day研究了解一下

作者: huolongguo10 时间: 2021-10-3 18:48

WLH 发表于 2021-10-2 17:54
问一下有没有什么程序可以监控进程，可以把它的调用什么的都分析出来的那种？ ...

火绒剑和psmon

作者: 化悲痛为力量 时间: 2021-11-20 16:55
提示: 作者被禁止或删除内容自动屏蔽

作者: ToumaIndex 时间: 2021-11-21 15:05

化悲痛为力量发表于 2021-11-20 16:55
病毒的定义与目前病毒的类型有多少能介绍一下吗？根据什么定义为病毒？

病毒属于恶意软件，恶意软件是指在用户不知情的情况下窃取敏感信息，盗取账号，毁坏数据和破坏设备的应用程序，包括但不限于病毒，蠕虫，间谍软件，广告程序和木马等等

作者: jasminesec 时间: 2022-2-11 10:59
视频病毒从技术层面实现起来很难有那功夫不如直接植入木马或者利用漏洞攻击，视频病毒的原理也是利用一些组件调用或者中间件漏洞实施攻击视频播放本身不存在安全问题

作者: spock 时间: 2022-2-11 16:40
简短地说: 单独的视频文件不会是病毒, 但是可以将可执行代码与视频文件混合, 这样看起来是一个文件, 而通过执行可执行代码则可以损害你的计算机. 不过这个执行这段可执行代码的过程需要由另一段可执行代码来实现

比如说最简单的: 删掉你的FILEPATH下文件的代码: os.remove(filepath), 但是这行代码你用记事本打开不会损害你的电脑, 不过如果你用有root权限的python编辑器打开, 就会损坏你的电脑了. 所谓的视频文件, 比如后缀为mp4的文件, 其实是通过后缀告诉系统用什么打开. 用播放器打开不会损坏你的系统, 但是比如你用别的工具执行的时候, 可以执行里边有害的部分.

这样就有可能把恶意程序分两步, 第一步, 一个恶意程序伪装成普通文件(例如视频), 并诱骗下载. 第二部, 发送第二个可执行文件, 调用第一个文件, 例如直接import或者使用popen之类的运行前一个程序. 对于杀毒软件, 第二个程序就是非常合法的, 而第一个才是有破坏的

作者: 花非花 时间: 2022-4-8 12:49

spock 发表于 2022-2-11 16:40
简短地说: 单独的视频文件不会是病毒, 但是可以将可执行代码与视频文件混合, 这样看起来是一个文件, 而通过 ...

原来是这样

作者: 魏嘉璇 时间: 2022-4-8 13:25

spock 发表于 2022-2-11 16:40
简短地说: 单独的视频文件不会是病毒, 但是可以将可执行代码与视频文件混合, 这样看起来是一个文件, 而通过 ...

如果病毒分为两部分，mp4结尾的视频如何通过exe打开？就算可行，为什么一个部分不行，偏要分为两个部分？一个部分的病毒不是更加简便吗？您这样的操作虽然让病毒伪造的更好，可是也让我们发现的更早，，

作者: test686 时间: 2022-4-8 16:37
在Linux中，可以制作.mp4后缀的后门，但是只能用./触发，正常打开是可以正常播放的

作者: RSA4096 时间: 2022-7-5 11:27
喜欢研究视频的话，可以学一下主流视频文件的结构、还有隐写。染毒的视频一般可以正常播放，可以利用指定播放器漏洞或者插件触发

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)