Pre par godina sam pisao seminarski rad na temu JPEG-a, pa evo ukratko kako se dobija JPEG, a vi sami zakljucite gde tu moze da se ugradi virus:
1. Izmena prostora boje - prevodimo RGB format u YCbCr, jer ljudsko oko opaza vise nijansi u intenzitetu osvetljenja nego u boji, pa za osveteljenje izdvajamo zaseban kanal
2. Redukcija palete boja - umanjimo kolicinu informacija koju nose Cb i Cr komponenta, i to najcesce za faktor 2, pri cemu stedimo od 33 do 50% na velicini krajnje datoteke
3. Deoba na blokove 8x8 piksela - u slucaju da ukupan broj piksela po bilo kojoj osi nije deljiv sa osam, primenjuje se jedna od tri metode za dopunjavanje nedostajucih piksela (popunjavanjem piksela na ivicama nekom unapred odredjenom bojom, ponavljanjem piksela na ivicama, popunjavanje piskelima cija je boja srednja vrednost preostalih piksela u bloku)
4. Diskretna kosinusna transformacija - upotrebom normalizovane dvodimenzionalne diskretne kosinusne transformacije tipa II prevodimo svaku komponentu YCbCr modela u svakom 8x8 bloku u domen frekvencija, pri cemu DKT nagomilava vece vrednosti u gornjem levom cosku matrice, dok se u donjem desnom nalaze manje vrednosti bliske nuli, i njih mozemo da odbacimo pri cemu dodatno stedimo na prostoru za skladistenje informacija
5. Kvantifikacija - podelimo sve komponente u frekventnom domenu nekom konstantom, i zatim dobijeni rezultat zaokruzimo na najblizu celobrojnu vrednost; kao rezultat ove operacije, vecina visokih frekvencija bice zaokruzena na nulu, a preostale vrednosti bice veoma mali pozitivni i negativni brojevi, za koje je potrebno mnogo manje bitova za skladistenje podataka
6. Entropijsko kodiranje - delovi slike se redjaju drugacijim redosledom prateci odredjenu cik-cak putanju, a zatim se upotrebom Huffmanovog algoritma odredjeni tipicni nizovi brojeva (npr. sve nule u donjem desnom cosku matrice) mogu zameniti odredjenim kodnim recima, cime se jos stedi na prostoru za cuvanje informacija
Da bi se JPEG prikazao, radi se obrnuti proces: entropijsko dekodiranje, zatim dekvantifikacija, pa inverzna diskretna kosinusna transformacija, i na kraju od dobijenih blokova 8x8 ponovo rekonstruisemo sliku.
Pa neka mi neko kaze koji normalan viewer, koji se pridrzava ovog recepta, moze od jpg fajla da generise bilo sta drugo osim gomile piksela. Znaci, morali bismo imati modifikovani viewer koji bi od jednog dela JPG fajla generisao i nesto drugo, a ne samo piksele, ali bi onda verovatno i svaki normalan viewer od tog dela JPG fajla generisao gomilu "djubreta" u slici, pa bi svakome bilo jasno da tu nesto nije u redu sa tim fajlom. jedino sto mi pada na pamet je da se iskoriste neki nestandardni markeri, koje bi normalni vieweri ignorisali, a modifikovani iskoristili da generisu neki novi fajl sa malicioznim instrukcijama.
Citat:
Kernel-1: Viraus ne napada particiju, vec fajlove, a fajl moze biti na bilo kojoj particiji,
(C, D, E...) pa naravno i na particijama removable uredjaja (USB Flash) - koji su zapravo
dosta cest nacin rasejavanja virusa (USB koji se usteka na zarazen racunar pa posle na neki drugi).
Tehnicki gledano, MBR nije fajl, ali sadrzi instrukcije u masinskom kodu za bootsrapovanje operativnog sistema, i te instrukcije mogu biti izmenjene i dopunjene da rade nesto drugo (i postoji i zasebna grupa virusa koje se naziva boot virusi i "zive" upravo u MBR). A kako se MBR nalazi u takozvanom nultom LBA sektoru svakog diska, onda mozemo reci da boot virus "napada particiju" (mada particija moze biti i logicka i extended, pa se tu malo menjaju pravila igre, ali da se ne rasplinjujemo previse).
Citat:
Nevena79: To pitam posto se kod zaraze obicno sve resi jednim formatom sistemske particije a ne secam se da sam skoro videla na forumu da je neko morao formatirati bas ceo HDD
Vecina korisnika racunara se drzi pravila igre i sve instalira u C:\Program Files, i drzi Windows folder na default lokaciji na C: disku, a posto je virusima potreban domacin, i uglavnom ih pronalaze medju aktivnim fajlovima, onda je veoma mala verovatnoca da ce se nesto sa drugih particija zaraziti, a i ako se zarazi nije stalno aktivno i ne predstavlja pretnju kao potencijalno novo izvoriste zaraze nakon ciscenja racunara. Zbog toga vecina korisnika posle zaraze formatira samo sistemsku particiju a ostale ostavlja netaknute.
[Ovu poruku je menjao valjan dana 09.08.2009. u 13:16 GMT+1]