自解压缩文件有可能在Linux上运行恶意软件吗？

Question

我知道您需要更改文件在Linux上作为脚本运行的权限。这是否足以防止任何恶意软件被某个自解压缩文件安装？有什么可以做的来增加Linux机器的安全性吗？

另外，自解压缩文件可以是任何文件格式(存档格式除外)吗？最近我遇到了这个扩展，它可以将网页保存为一个自解压的HTML文件。难道像EPUB和CBR这样的格式不只是具有特定结构的归档格式吗？恶意软件也可以隐藏在这些文件格式中吗？

Answer 1

欢迎来到这个SE网站。

首先，您可能有一个包含最恶意内容的文件，存储在任何操作系统上，不会造成任何伤害。恶意行为的激活(从现在开始，“感染”)将要求直接或间接执行该行为。

eXecute权限unix系统(包括Linux)标记一个文件是否可以运行。由于您需要将其设置为可执行文件，因此可能会防止在某些情况下您可能无意中运行您不打算运行的文件。注意，这并不能完全阻止它们的运行。对于解释语言来说尤其如此，例如，没有执行位将不允许您运行./script.sh，但您可以以bash script.sh的形式运行它们，与python、perl等类似(您也可以使用ldd运行ELF二进制文件，但在最近的版本中则不然)。

(NTFS也具有执行权限，尽管很少使用它)

直接执行将涉及到运行程序的用户(可能认为它在做其他事情，比如打开pdf发票)。间接执行将涉及由另一个程序运行的代码。例如，当用户打开巧尽心思构建的恶意pdf时，pdf查看器上的漏洞可能会使它运行恶意代码。在那里，文件本身的执行权限并不重要，因为它是运行代码的实际pdf查看器。

此外，这甚至可能导致执行用户未与之交互的文件，例如打开文件夹时自动发生的漏洞攻击，因为易受攻击的读者会解析该文件以生成预览/缩略图。或者是全病毒 会有病毒 当试图扫描它时。

这是否足以防止任何恶意软件被某个自解压缩文件安装？

不是的。最好的预防措施是根本不运行这样的可执行文件。即使是“只是”自解压缩文件也不行。

有什么可以做的来增加Linux机器的安全性吗？

您可以在沙箱/虚拟机中启用SeLinux / AppArmor /运行特别不受信任的进程。还有所有常见的建议:不要运行不受信任的程序或网络上的随机指令，将自己与根帐户分离开来(很明显)，保持系统和程序的更新(Linux发行版使这非常容易)，进行工作备份，如果可能发生任何不好的事情，可以让您恢复。此外，谨慎和明智的行动也有很大帮助。

此外，您还可以进一步提高它的安全性，方法是拔掉它的插头，锁在一个保险箱里，并将埋在地下20英尺的地方藏在一个秘密位置(丹尼斯·休吉斯)中，尽管你可能不愿意走那么远。

最近我遇到了这个扩展，它可以将网页保存为一个自解压的HTML文件。

当谈到自解压缩文件时，它们通常是关于可执行文件的.他们不需要接收者有一个能够解压缩的程序，因为当作为一个程序运行时，他们能够解压缩自己。相反，它需要运行该程序，而不是本地解包程序，后者(希望)已经从受信任的源安装。(注意:通常可以使用适当的程序打开自解压压缩文件，而不必运行它们)。

在扩展的情况下，打开这些页面是安全的。它的工作方式是创建一个html页面和zip文件的混合物，当打开它时，用javascript加载内容。因为它在tha浏览器中运行，所以它并不比打开本地存储的网页更不安全。(注意:安装扩展仍然需要进行通常的分析，以确定是否有害)

难道像EPUB和CBR这样的格式不只是具有特定结构的归档格式吗？

是的，它们是存档格式。

恶意软件也可以隐藏在这些文件格式中吗？

恶意软件文件可能藏在那里。或者一封情书。或者是间谍圈的指令。关键是，如果这样做在某种程度上是危险的。很可能不是。他们需要利用EPUB/CBR读取器中的漏洞，该漏洞将处理该文件。否则，储存在那里的恶意软件将是无害的。