Wie ändere ich eine ausführbare Datei, um sie an E-Mail-Anhangsfilter zu übergeben?
460
Andrew Cheong
Ich versuche, mir ein Dienstprogramm ( HJSplit ) per E-Mail zu senden, da ich es nicht direkt auf meinem Arbeitscomputer herunterladen kann. Natürlich sind die Filter meines Unternehmens dazu da, um genau das zu tun. Aber verdammt noch mal, ich versuche, etwas Arbeit zu erledigen, und ich kann diese 500 MB-Protokolldatei nicht öffnen, ohne sie vorher zu teilen. (Notepad kann nicht einmal 100 MB verarbeiten. Und UltraEdit stürzt aus irgendeinem Grund ab, obwohl es damit umgehen kann.)
Ich öffnete die ZIP-Datei des Dienstprogramms in einem Hex-Editor (UltraEdit), modifizierte einige Bits und änderte die Erweiterung in JPG. Dies führte dazu, dass Gmail die Regel für nicht ausführbare Dateien überschritten hatte, jedoch vom Exchange-Server meines Unternehmens blockiert wurde.
Unabhängig von der Moralität meiner Tätigkeit bin ich neugierig, welche Teile geändert werden müssen, um die Natur einer Datei ununterscheidbar oder nicht identifizierbar (oder als gutartigen Typ erkennbar) für einen Filter zu machen.
Inb4 Moral Orel fordert uns auf, die Unternehmensrichtlinien zu respektieren und ich sollte mit meinen IT-Mitarbeitern sprechen. Das ist in Ordnung und ich kann am Ende das tun, da dies länger gedauert hat als nur zu fragen, aber ich bin immer noch neugierig, ob es möglich ist, "magische Bytes" in Filter zu täuschen.
Andrew Cheong vor 8 Jahren
0
Der Exchange-Server kann die Datei abhören, verschlüsseln und mit einem Kennwort schützen, um zu sehen, ob sie durchgeht.
Moab vor 8 Jahren
0
3 Antworten auf die Frage
1
Gamerb
In den meisten Fällen ist es nicht möglich, die Datei zu verschlüsseln. Es gibt einige Dienstprogramme, die dies für Sie durchführen. Ich würde GPG für Linux oder TrueCrypt für Windows empfehlen. (Ja, ich verstehe, dass TrueCrypt nicht mehr unterstützt wird, aber weil Sie nur einen Filter umgehen möchten, sollten Sie gut sein.)
Natürlich können Sie das Dienstprogramm auch in einem HEX-Editor öffnen und einige der "Magic" -Bytes löschen. Ich würde sagen, dass die ersten 100 Werte funktionieren sollten, und kopieren Sie diese in eine separate Datei, die Sie mit dem Dienstprogramm selbst per E-Mail senden (ohne die ersten hundert Bytes).
Hoffe das hilft!
Ah, Verschlüsselung macht Sinn. Ich habe versucht, was Sie zum Ausschneiden des Anfangs vorgeschlagen haben, aber ich denke, da es sich um Sonderzeichen handelt, die nicht korrekt über Remote Desktop eingefügt wurden, konnte ich die Datei nicht wiederherstellen, ohne die verschiedenen Hex-Bytes manuell einzugeben. Wahrscheinlich etwas, das ich hätte umgehen können, wenn ich mich mehr bemühte.
Andrew Cheong vor 8 Jahren
0
0
Andrew Cheong
Ich stellte fest, dass ich beim Versuch, eine gezippte EXE zu schleichen, nicht nur die ersten zwei Bytes (bekannt als "die magische Zahl") ändern musste, sondern auch eine Folge von Bytes, die den gezippten Dateinamen buchstabiert.
Zum Beispiel begann die ursprüngliche ZIP- PKDatei mit der Bezeichnung einer gezippten Datei:
Ich habe es in eine geändert und BMeine Bitmap-Datei festgelegt:
Auch das Original ZIP wurde ausgesprochen hjsplit.exe, daher habe ich es geändert hjsplit.bmp. Ich habe die Datei selbst hjsplit.bmpauch umbenannt.
0
Hennes
uuencode es. Dadurch wird die Datei in reinen Text umgewandelt. Dann entfernen Sie die erste Zeile (die mit etwas beginnt begin 644 filename).
Sie haben jetzt nur noch normalen Klartext.
Versenden Sie den Text per E-Mail, fügen Sie die erste Zeile erneut hinzu und codieren Sie ihn.
