ChristophTutorials - (Video)Tutorialseite und IT-Blog

Zitat der Woche

Früher hatten wir die spanische Inquisition. Jetzt haben wir die Kompatibilität.
- Herbert Klaeren

Letzte Artikel

Zufällige Artikel

Verzeichnisse

Blogverzeichnis - Blog Verzeichnis bloggerei.de Blogverzeichnis Blog Verzeichnis Blog Top Liste - by TopBlogs.de Blog Button
Datenschutzerklärung
Impressum
Die Archivbombe - 02.05.2011
Dateien lassen sich mit Packprogrammen mehr oder weniger stark schrumpfen. Eine Textdatei lässt sich zum Beispiel kleiner packen, als ein Video der selben Größe. Das liegt daran, wie gut sich die Informationen in der Datei anders formulieren lassen, um weniger Platz zu verbrauchen. Je eher eine Datei sich wiederholende Muster enthält, desto besser lässt sie sich komprimieren.

Die sich wiederholenden Muster kann man auch in die Extreme treiben und beispielsweise eine große Datei erstellen, die bloß Nullen enthält und komprimiert nur ein paar Kilobyte groß ist. Diese kann man dann wieder neu verpacken und mehrere solcher Dateien zusammen wieder einem Archiv hinzufügen. Wenn man nun versuchen würde, die ganzen Dateien zu entpacken würde man schnell Speicherprobleme kriegen. Außerdem würde der Prozess eine ganze Weile dauern.

Ein bekanntes Beispiel für eine Archivbombe ist 42.zip. Sie ist fünf mal rekursiv gepackt, sodass ihre Größe bloß 42 Kilobyte beträgt. Wird sie entpackt, ist sie ganze 4,5 Petabyte groß. Ein weiterer Ansatz für eine Archivbombe ist eine Datei, welche sich rekursiv selbst enthält oder die Ausnutzung von Fehlern im Entpacker.

Natürlich wird kaum jemand solche Dateien wirklich versuchen zu entpacken. Vor allem, wenn er bemerkt, dass wenn er ein Archiv geöffnet hat, wieder eine Reihe neuer folgen, es ist aber auch schon mit einer nur einmal gezippten Datei recht wirkungsvoll. Außerdem ist das Hauptangriffsziel hier wohl nicht der Mensch, sondern Virenscanner und E-Mail-Server, die die Datei entpacken wollen, um sie auf Schadware zu prüfen. Das kann den Virenscanner oder sogar das ganze System zum Stillstand bringen. Bei manchen Virenscannern lässt sich zum Schutz einstellen, dass Archive nur bis zu einer bestimmten Tiefe zum scannen entpackt werden.

Die 42.zip wird jetzt übrigens schon von vielen Virenscannern erkannt, dass liegt jedoch wahrscheinlich bloß daran, dass der Hash-Wert der Datei in die Signaturdatenbank aufgenommen wurde. Selbst erstellte Archivbomben werden also wohl nicht erkannt.

Kommentare:

- kein Kommentar -
Um einen Kommentar zu schreiben ist eine Anmeldung nötig.