Páginas

quinta-feira, 26 de janeiro de 2012

Abertura de ficheiros duvidosos


A abertura de ficheiros duvidosos devem ser feitas com cautelas, isto em qualquer sistema, de qualquer forma, não iremos executar o ficheiro em questão, mas sim tentar averiguar o que tem lá dentro o ficheiro.

No caso de se utilizar um sistema Linux podemos utilizar o MC - Midnight Comander, no caso do Windows XP, Vista, 7 podemos utilizar o Hackam 9.20 - editor hexadecimal, o qual permite visualizar e dissassemblar qualquer ficheiro.

Neste caso, a primeira coisa que o MC nos diz, é que o ficheiro tem duas camadas, porém o ficheiro não contém somente esta informação,mas contém um pouco mais de informação, e parte dessa informação encontra-se já no próprio ficheiro.

A primeira coisa que se consegue observar é que o ficheiro não começa como os outros, começa por um «T», em Hexadecimal 54. Ora isto é estranho, pois que o ficheiro começa por «% e não por aquilo que deveria começar, que seria por «T». Pois que a edição do ficheiro com o MC leva a ver a segunda camada do ficheiro e não a primeira. A primeira existe em Hexadecimal e em remete para a informação colocada no post anterior. Se pretende visualizar o documento deverá fazer o upgrade do seu adobe.


Nestas situações, não há nada a fazer, a informação existe no ficheiro, mas este ficheiro, que foi elaborado para ser enviado para múltiplas estações apresenta um código java que parece ser malicioso. Poderá efectivamente não o ser, mas um sujeito fica sempre de pé atrás.

Pelo sim pelo não resolvi utilizar o programa Hackam dissassembler para windows para fazer a mesma operação ao ficheiro pdf.
Como utilizador o que me interessa é se o ficheiro é válido ou não, se é válido podemos abrir, porém se nos repete para um determinado tipo de código repetitivo, então o melhor mesmo é deitar para o eliminá-lo.

Nenhum comentário: