1 votes

Andrew Cheong avatar

Comment modifier un fichier exécutable pour qu'il passe les filtres de pièces jointes des courriels ?

Demandé el 8 de Janvier, 2016
Quand la question a-t-elle été
670 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie de m'envoyer par e-mail un utilitaire ( HJSplit ) parce que je ne peux pas le télécharger directement sur mon ordinateur de travail. Bien sûr, les filtres de mon entreprise sont là pour m'empêcher de faire exactement cela. Mais bon sang, j'essaie de travailler, et je ne peux pas ouvrir ce fichier journal de 500 Mo sans le diviser d'abord. (Notepad ne peut même pas gérer 100 Mo. Et UltraEdit se plante pour une raison quelconque, alors qu'il devrait être capable de le gérer).

J'ai ouvert le ZIP de l'utilitaire dans un éditeur hexagonal (UltraEdit) et modifié quelques bits, et changé l'extension en JPG. Cela a permis de passer la règle de non-exécution de Gmail, mais le serveur Exchange de mon entreprise l'a bloqué.

Indépendamment de la (a)moralité de ce que je fais, je suis curieux de savoir quels bits doivent être modifiés pour rendre la nature d'un fichier indiscernable ou non identifiable (ou identifiable comme un type bénin) pour un filtre ?

Demandé el 8 de Janvier, 2016 par Andrew Cheong

Réponses

Trop de publicités?

1voto

Lektonic avatar
Lektonic Points 852

Le cryptage du fichier est un moyen de le rendre indiscernable dans la plupart des cas. Il existe un certain nombre d'utilitaires qui peuvent le faire pour vous. Je recommande GPG pour Linux ou TrueCrypt pour Windows. (Oui, je comprends que TrueCrypt n'est plus supporté, mais parce que vous voulez juste contourner un filtre, vous devriez être bon).

Et bien sûr, vous pouvez ouvrir l'utilitaire dans un éditeur HEX et supprimer certains des octets "magiques". Je dirais que les 100 premières valeurs devraient fonctionner, et copiez-les dans un fichier séparé que vous enverrez par e-mail avec l'utilitaire lui-même (sans les cent premiers octets).

J'espère que cela vous aidera !

Répondu el 8 de Janvier, 2016 par Lektonic (852 Points )

0voto

Andrew Cheong avatar
Andrew Cheong Points 1528

J'ai constaté que dans mon cas, lorsque j'essayais de faire passer en douce un EXE zippé, je devais modifier non seulement les deux premiers octets (connus sous le nom de "numéro magique"), mais aussi une séquence d'octets indiquant le nom du fichier zippé.

Par exemple, le ZIP original commençait par PK désignant un fichier zippé :

enter image description here

Je l'ai changé en BM désignant un fichier bitmap :

enter image description here

De plus, la ZIP originale indiquait hjsplit.exe alors je l'ai changé en hjsplit.bmp . J'ai renommé le fichier lui-même en hjsplit.bmp également.

Répondu el 9 de Janvier, 2016 par Andrew Cheong (1528 Points )

0voto

Hennes avatar
Hennes Points 63532

Uuencodez-le. Cela transformera le fichier en texte brut. Ensuite, supprimez la première ligne (celle qui commence par quelque chose comme begin 644 filename ).

Vous n'avez plus que du texte ordinaire.

Mail le texte, ajoutez la première ligne à nouveau et uudecodez-le.

Répondu el 9 de Janvier, 2016 par Hennes (63532 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X