Ubah ukuran yang dapat dieksekusi (* .exe) saat mentransfer file dari satu PC ke yang lain

8

Saya menghadapi masalah aneh dengan file yang dapat dieksekusi. Ketika saya mentransfer executable ini dari PC A ke PC B menggunakan IP messenger ukurannya berubah. Secara fungsional, ia masih berperilaku dengan cara yang sama. Sekali lagi, ketika saya mentransfer file lebih lanjut dari PC B ke PC C, file yang dapat dieksekusi kembali ke ukuran semula. Saya mencoba membandingkan kedua file yang dapat dieksekusi ini dengan ukuran berbeda menggunakan HEX bandingkan dan ada cukup banyak byte yang telah berubah.

Apa yang bisa menjadi alasan untuk ini?

CATATAN: Semua sistem ini menggunakan sistem operasi Windows.

windows Saurabh Gandhi
sumber
4
Sudahkah Anda memperbarui definisi virus Anda belakangan ini? Juga, dapatkah Anda mengonfirmasi bahwa hash (seperti CRC32) juga berubah?
Gleno
3
Perbedaan ukuran blok dapat menyebabkan perubahan kecil dalam ukuran file aktual, tetapi isi file tidak boleh berubah.
user55325
@ Gleno: Hanya FYI, tetapi CRC32 bukan "hash" yang nyata dan mudah untuk bertabrakan. Untuk integritas file, MD5 atau SHA lebih baik.
user1686
@grawity, probabilitas bahwa dua file berbeda menghasilkan CRC32 yang sama cukup rendah. Anda benar bahwa ada hash yang lebih baik, tetapi CRC32 adalah pemeriksaan yang sangat umum untuk integritas file.
Gleno
@ Greno: Ya, tetapi hanya terhadap korupsi tidak disengaja, bukan malware. (Tidak terkait, tetapi menarik: banyak ISO yang didistribusikan oleh Microsoft memiliki FFFFFFFF sebagai CRC32 mereka.)
user1686

Jawaban:

1

Di masa lalu saya pernah mengalami masalah dengan konversi CR / LF -> CR, atau konflik mode transfer ASCII / biner dalam berbagai konteks transfer file. Jika teori muatan virus tidak berjalan, Anda mungkin ingin menyusuri jalan ini untuk melihat apakah ini terjadi dalam kasus Anda.

baitisj
sumber
4

Jika mentransfer executable dari sistem A ke sistem B mengubahnya dengan cara tertentu, dan mentransfernya kembali ke sistem A ternyata mengubahnya kembali, maka saya akan mengatakan itu tanda umum infeksi virus. Artinya, file EXE terinfeksi. Namun, pada sistem asli (A) virus ini aktif, dan membuat ukuran file untuk dilaporkan seperti semula. Namun, memeriksa file yang disalin pada sistem "bersih" (B) Anda dapat melihat perbedaannya.

Saran saya adalah, unggah file EXE dari sistem B (di mana file tersebut tampak lebih besar) ke VirusTotal , yang akan memeriksanya dengan banyak antivirus secara bersamaan, dalam hitungan menit. Jika file terinfeksi, kemungkinan besar Anda akan mengetahuinya.

haim
sumber
Bisakah Anda menguraikan mengapa virus membuat file tampak lebih besar pada suatu sistem? Secara teoritis, saya kira saya bisa melihat bagaimana itu bisa memengaruhi apa yang mungkin ditampilkan oleh utilitas sebagai ukuran. Apakah saya melewatkan kemungkinan lain?
Belmin Fernandez
Ketika virus menginfeksi file, ia menambah muatannya, sehingga file tumbuh. Untuk menghindari deteksi, pada sistem yang terinfeksi (di mana virus itu penduduk dan aktif), itu menunjukkan file seperti sebelum infeksi. Tetapi jika Anda menyalin file itu ke sistem yang bersih, Anda akan melihat ukuran sebenarnya, yaitu sebelum sebelum terinfeksi ditambah ukuran muatan virus.
haimg
Keingintahuan: Apakah Anda mengetahui bagaimana virus dapat mengontrol ukuran apa yang dilaporkan untuk suatu file?
Belmin Fernandez
4
Iya. Saya bekerja di perusahaan antivirus bertahun-tahun yang lalu. Pada dasarnya Anda menulis driver filter sistem file ... Kemudian Anda dapat melakukan semua jenis hal "lucu", misalnya mengembalikan ukuran file yang berbeda tergantung pada siapa yang bertanya, dll.
haimg
1
Terima kasih atas wawasannya! +1, hal-hal menarik. Maaf untuk tangen :-)
Belmin Fernandez