揭秘图片病毒技术背后的内幕

二、位图特性的悲哀

他是一家公司的网络管理员，在服务器维护和安全设置方面有足够多的经验，因此他无需惧怕那些利用浏览器漏洞实现的病毒。

这天他在一个技术论坛里看到一个网友发的关于AMD某些型号的处理器存在运算瑕庇的帖子，并给出一个测试页面连接，根据官方描述，如果你用的CPU存在瑕庇，那么你会看到页面上的测试图片显示得破损错乱。他心里一惊：自己用的CPU正是这个型号。他马上点击了页面连接。

看着页面上乱七八糟的一幅图片，他心里凉了一截：这台机器的CPU居然有问题，而他还要用这台机器处理公司的重要数据的！他马上去管理部找负责人协商，把显示着一幅胡里花哨图片的机器晾在一边。

管理部答应尽快给他更换一台机器，让他把硬盘转移过去，因为上面有重要的业务资料。他回来时看到那幅图片还在耀武扬威，他厌恶的关闭了页面，照例打开存放资料的文件夹，他的脑袋一下子空白了：资料不见了！谁删除了？他慌乱的查找硬盘每个角落，可那些文件却像蒸发了一样。许久，他终于反应过来了：机器被入侵了！他取下硬盘直奔数据恢复公司而去。

事后他仔细分析了原因，因为机器已经通过了严格的安全测试而且打了所有补丁，通过网页漏洞和溢出攻击是不可能的了，唯一值得怀疑的只有那个所谓的瑕庇测试网页了，他迅速下载分析了整个页面代码，看着页面源代码里后缀名为“.BMP”的IMG标记和一堆复杂的脚本代码，他知道自己是栽在了BMP木马的手上。

那幅“测试瑕庇”的图片，无论到什么机器上都是一样有“瑕庇”，因为它根本不是图片文件，而是一个以BMP格式文件头部开始的木马程序。

为什么看似温顺的图片文件也变成了害人的凶器？这要从位图（Bitmap）格式说起，许多朋友应该都知道流传了很久的被称为“图片藏字”的“密文”传播方式，即在位图文件尾部追加一定量的数据而不会对原位图文件造成太大破坏，这是位图格式的限制宽松而造成的。系统判断一个位图文件的方法并不是严格盘查，而是仅仅从文件头部的54字节里读取它的长宽、位数、文件大小、数据区长度就完成了图片的识别，宽松的盘查机制使得BMP木马得以诞生。不过先要澄清一点概念，BMP木马并不是在BMP位图文件屁股后追加的EXE文件，而是一个独立的EXE可执行文件，但是它的文件PE头部已经用位图文件头部替换了，由于系统的盘查机制，这个EXE文件就被浏览器认成位图文件了。既然是位图，在浏览器的程序逻辑里，这是需要下载到Internet高速缓存文件夹然后显示在页面上的文件，但是因为这个文件本来就不是位图，它被强制显示出来以后自然会变成一堆无意义的垃圾数据，在用户眼里，它就成了一幅乱七八糟的图像。但这不是引起木马危机的原因，要留意的是这些文字：“需要下载到Internet高速缓存文件夹”！这说明浏览器已经请狼入室了——木马已经在硬盘上安家了，但是目前它还在沉睡中，因为它的文件头部被改为位图格式，导致它自身已经不能运行，既然不能运行，理所当然就不能对系统构成危害，那么这只狼在硬盘呆多久也是废物一个，入侵者当然不能任由它浪费，因此他们在做个页面给浏览器下载木马的同时，也会设置页面代码让浏览器帮忙脱去这只狼的外衣——把位图格式头部换成可执行文件的PE头部，然后运行它。经过这些步骤，一只恶狼进驻了系统。

这个无法修补的漏洞十分可怕，用户很难知道他们正在浏览的页面是否正在偷偷下载着木马数据，因为即使他们打好了所有补丁也无济于事，木马是被IE“合法”下载的，不属于代码漏洞，而且单靠程序本身也很难判断这个图像是不是木马程序，机器靠二进制完成处理工作，而不是视网膜成象交给大脑判断。但是，由于这也是需要下载文件的入侵方式，它能否下载完毕以及用户愿不愿意去看页面就要取决于入侵者的社会工程学了，在任何一个页面里放出一个乱七八糟的图片或者来一个隐藏的图片框都不是最明智的选择，除非利用一些“暇庇声明”或更能引起人的兴趣的伎俩。那家公司的网管之所以会这么不设防，就是因为攻击者偷用了人们的“心理盲区”，因为人们对安全、漏洞、病毒、暇庇等内容会特别敏感，所以入侵者发个专业暇庇案例就欺骗了一大堆人，这次是拿真实的事件：AMD某些型号CPU会导致图像显示出问题的暇庇来做鱼饵，下一次又该拿什么了呢？