Bombe de decompression ou pas ???
Résolu
Duck ripper
Messages postés
3
Statut
Membre
-
barnabe0057 Messages postés 17074 Statut Contributeur -
barnabe0057 Messages postés 17074 Statut Contributeur -
Bonjour,
Voilà j'ai télécharger un fichier rar et après l'avoir scanné avec antivir il me marque dans le rapport 0 virus mais 2 avertissements de possible bombe de décompression et j'aimerai savoir si c'est une bombe ou pas (sans avoir à le décompresser pour voir :p)
En sachant que le fichier fait 2.50Go, j'me dis que peut-être (mais j'y connaît rien) vu qu'il est lourd il a p't'être été compressé de la même manière qu'une bombe et que c'est ça qui titille antivir enfin bref merci de m'aider à résoudre ce casse tête.
Voilà j'ai télécharger un fichier rar et après l'avoir scanné avec antivir il me marque dans le rapport 0 virus mais 2 avertissements de possible bombe de décompression et j'aimerai savoir si c'est une bombe ou pas (sans avoir à le décompresser pour voir :p)
En sachant que le fichier fait 2.50Go, j'me dis que peut-être (mais j'y connaît rien) vu qu'il est lourd il a p't'être été compressé de la même manière qu'une bombe et que c'est ça qui titille antivir enfin bref merci de m'aider à résoudre ce casse tête.
A voir également:
- Bombe de decompression ou pas ???
- Decompression rar - Guide
- Logiciel de décompression gratuit - Guide
- Zip self decompression - Guide
- Impossible de decompresser fichier zip mac erreur 1 - Forum MacOS
- Decompression zip - Télécharger - Compression & Décompression
2 réponses
Selon WIkipédia :
Une bombe de décompression est un type de logiciel malveillant qui consiste en un fichier compressé dont la décompression mobilise tellement de ressources qu'il peut faire geler le système. Elle peut aussi être utilisée pour occuper l'antivirus pendant qu'un virus plus traditionnel est introduit.
Bombe simple (ou bombe à données répétées) :
Il s'agit d'un simple fichier compressé, placé à un endroit quelconque du disque dur, d'une taille relativement légère (n'excédant pas une dizaine de méga-octets), qui contient après décompression des données d'une taille beaucoup plus importante (plusieurs giga-octets). Pour ce faire, on remplit intégralement, sur plusieurs giga-octets, un fichier binaire d'une même donnée (0 ou 1). Ainsi, une fois compressé, il sera très léger.
Lors d'une analyse ce fichier va être analysé par l'antivirus pour peu que celui-ci supporte l'analyse de fichiers compressés (ce qui est le cas pour pratiquement tous les antivirus à ce jour). Pour cela, l'antivirus va devoir extraire l'archive dans une zone temporaire, afin de les analyser un par un. Là est la source du problème : lorsqu'on extrait ce fichier ce sont plusieurs giga-octets de données qui doivent être extraits et copiés dans cette zone. Ce processus de décompression occupe toute la mémoire temporaire qui lui est dédiée et créé un déni de service (ou DoS) en accaparant toutes les ressources du processeur.
Certains antivirus sont cependant capables de reconnaître les bombes de décompression avant qu'elles ne soient décompressées.
Bombe complexe
Une bombe complexe est un fichier compressé dont l'en-tête est incorrect.
Bombe simple à série de fichiers
Cette bombe est en fait plusieurs bombes identiques les unes dans les autres. Certains formats de compression permettent de compresser un grand nombre de fois un même fichier dans une seule archive sans augmenter la taille finale de l'archive. On compressera donc plusieurs milliers voire millions de bombes simples dans un fichier compressé, et la taille de la bombe finale différera peu de celle d'une unique bombe simple. La taille des fichiers décompressés lors de l'explosion de la bombe peut alors atteindre plusieurs centaines de péta-octets.
Un exemple de ce type de bombe est le fichier 42.zip, un fichier ZIP de 42 kilo-octets, qui contient un fichier de 4,3 giga-octets répété à 165 exemplaires (par groupe de 16 sur 5 niveaux de profondeur), soit un total de 4,5 péta-octets après décompression[1].
Autres bombes [modifier]
Ce problème touchant tous les types de fichiers compressés, il est ainsi possible de créer des bombes à image (picture bomb : un seul pixel est répété sur une image de plusieurs milliers de pixels de côté).
NE PAS TOUCHER A CE FICHIER : LE SUPPRIMER DIRECTEMENT !!!!!!!!!!!!!
Une bombe de décompression est un type de logiciel malveillant qui consiste en un fichier compressé dont la décompression mobilise tellement de ressources qu'il peut faire geler le système. Elle peut aussi être utilisée pour occuper l'antivirus pendant qu'un virus plus traditionnel est introduit.
Bombe simple (ou bombe à données répétées) :
Il s'agit d'un simple fichier compressé, placé à un endroit quelconque du disque dur, d'une taille relativement légère (n'excédant pas une dizaine de méga-octets), qui contient après décompression des données d'une taille beaucoup plus importante (plusieurs giga-octets). Pour ce faire, on remplit intégralement, sur plusieurs giga-octets, un fichier binaire d'une même donnée (0 ou 1). Ainsi, une fois compressé, il sera très léger.
Lors d'une analyse ce fichier va être analysé par l'antivirus pour peu que celui-ci supporte l'analyse de fichiers compressés (ce qui est le cas pour pratiquement tous les antivirus à ce jour). Pour cela, l'antivirus va devoir extraire l'archive dans une zone temporaire, afin de les analyser un par un. Là est la source du problème : lorsqu'on extrait ce fichier ce sont plusieurs giga-octets de données qui doivent être extraits et copiés dans cette zone. Ce processus de décompression occupe toute la mémoire temporaire qui lui est dédiée et créé un déni de service (ou DoS) en accaparant toutes les ressources du processeur.
Certains antivirus sont cependant capables de reconnaître les bombes de décompression avant qu'elles ne soient décompressées.
Bombe complexe
Une bombe complexe est un fichier compressé dont l'en-tête est incorrect.
Bombe simple à série de fichiers
Cette bombe est en fait plusieurs bombes identiques les unes dans les autres. Certains formats de compression permettent de compresser un grand nombre de fois un même fichier dans une seule archive sans augmenter la taille finale de l'archive. On compressera donc plusieurs milliers voire millions de bombes simples dans un fichier compressé, et la taille de la bombe finale différera peu de celle d'une unique bombe simple. La taille des fichiers décompressés lors de l'explosion de la bombe peut alors atteindre plusieurs centaines de péta-octets.
Un exemple de ce type de bombe est le fichier 42.zip, un fichier ZIP de 42 kilo-octets, qui contient un fichier de 4,3 giga-octets répété à 165 exemplaires (par groupe de 16 sur 5 niveaux de profondeur), soit un total de 4,5 péta-octets après décompression[1].
Autres bombes [modifier]
Ce problème touchant tous les types de fichiers compressés, il est ainsi possible de créer des bombes à image (picture bomb : un seul pixel est répété sur une image de plusieurs milliers de pixels de côté).
NE PAS TOUCHER A CE FICHIER : LE SUPPRIMER DIRECTEMENT !!!!!!!!!!!!!
Est-ce que "avertissement: possible bombe de décompression" dans le rapport d'antivir signifie en fait que c'est une bombe et qu'il faut que j'le vire?? Si c'est ça il aurait au moin pu le marquer dans les résultats positif, Enfin bon merci quand même j'laisse le sujet ouvert au cas ou quelqu'un aurai plus d'info.