一張看起來十分正常的可愛貓咪或美女圖片，可以把惡意代碼隱藏在圖片像素中。當(dāng)你點(diǎn)擊這張圖片時(shí)，計(jì)算機(jī)便會(huì)中招。

印度安全研究人員薩米爾·沙哈把他發(fā)現(xiàn)的這種隱藏惡意程序的方法稱為“stegosploit”，只需看一眼被這種方法處理過的圖片文件，你就會(huì)被黑掉。沙哈在上周四荷蘭阿姆斯特丹的黑客會(huì)議(HITB)上講解了這項(xiàng)黑客技術(shù)。

“惡意程序是一門藝術(shù)。”

一般情況下，惡意軟件往往會(huì)以諸如PDF、Word等辦公文檔作為郵件附件的形式夾帶以形成傳播。但沙哈使用的是“密寫”(Steganography)技術(shù)，把信息隱藏在圖片中，肉眼無法識(shí)別。

密寫經(jīng)常被恐怖分子用來在圖片和視頻文件中秘密的傳送信息，美國(guó)政府的特工被迫觀看大量的色情圖片和視頻以期望能從中找到秘密信息。沙哈則把這種概念運(yùn)用到了黑客技術(shù)上。他把代碼“寫”進(jìn)圖片像素，然后通過HTML5的可遞交腳本的動(dòng)態(tài)Canvas元素還原。沙哈將這一過程稱為“密汁”。

“我無需建立網(wǎng)站，甚至不需要注冊(cè)域名。我只需把一張圖片上傳到網(wǎng)上，然后把地址告訴你。當(dāng)你在瀏覽器中查看這張圖片時(shí)，惡意程序就會(huì)被觸發(fā)。”

惡意代碼是圖片代碼與Java腳本的混合，沙哈稱之為“IMAJS”，可藏進(jìn)JPG或PNG格式的圖片文件中。除非瀏覽者把圖片放大仔細(xì)查看，否則無法無現(xiàn)這是一張“有問題”的圖片。 

這張圖片可以黑掉你的計(jì)算機(jī)

下面第一個(gè)視頻中，沙哈演示了如何一步一步把惡意代碼寫進(jìn)圖片：

第二個(gè)視頻，則顯示了惡意軟件是如何起作用的。需要用戶在瀏覽器中查看圖片，或是點(diǎn)擊圖片：

圖片一旦被點(diǎn)擊，CPU的使用率便會(huì)上升到100%，意味著惡意程序開始運(yùn)行。它可以把受害者計(jì)算機(jī)上的數(shù)據(jù)發(fā)送給攻擊者，還能夠在受害者的計(jì)算機(jī)上建立一個(gè)文本文件，其中寫著“你被黑了!”。

圖像文件已不能再被“信任”，下次點(diǎn)擊它的時(shí)候，三思而后行。

惡意程序還可以設(shè)計(jì)更多的功能，如下載和安裝間諜軟件。沙哈表示，他用了幾乎5年的業(yè)余時(shí)間來研究這項(xiàng)技術(shù)。目前他還未在圖片分享網(wǎng)站上測(cè)試這項(xiàng)技術(shù)，但他承認(rèn)這種方法并不在任何情況下都適用。

原文地址：http://www.aqniu.com/tools/7955.html