CorkaMIX.exe – un fișier valid simultan ca PE/PDF/HTML/JAR(CLASS+ZIP)/PY
3CorkaMIX.exe este un fișier dezvoltat de Corkami, o echipă ce se ocupă cu experimente de reverse engineering și documentarea acestora, care poate fi rulat valid în diverse forme. El este în același timp considerat ok ca:
• Windows Portable Executable binary
• document PDF de la Adobe Reader
• Oracle Java JAR (CLASS+ZIP)/script Python
• pagina HTML
Fișierul creat de aceștia a fost dezvoltat doar cu gândul de a deveni un POC și de a veni în susținerea afirmației că formatele de fișiere ce nu încep de la offset-ul 0 sunt o idee proastă. A fost scris manual în assembly x86, asta incluzând și structurile ZIP și PE.
Pentru a compila codul trebuie să rulați pur și simplu comanda obișnuită:
yasm -o corkamix.exe corkamix.asm
Pentru și mai multă distracție dar și provocări tehnice, numeroasele părți ale fișierului au fost aranjate în diverse poziții ale fișierului, nerespectand o ordine concretă. Spre exemplu, PDF-ul începe în header-ul PE și se termină în interiorul zonei ZIP. Cum Java nu validează CRC-ul ZIP-ului (JAR-ului în această situație), ele au fost șterse, transformând ZIP-ul într-unul pseudo-invalid.
Lista de provocări tehnice se aplică și pe PE, PDF, Python samd. dar pentru mai multe detalii puteți analiza chiar personal sursa acestui fișier.
Chestia e destul de genial! Ar putea fi folosita pentru crearea programelor ca sa ruleze pe Windows , Linux sau Mac… nu?
@Andrei Paciurca Nu chiar. Ar putea fi folosita mai mult pentru hacking pentru ca poti masca intr-un fisier veritabil PDF un fisier Python de exemplu sau un backdoor or something else pentru ca daca aplicatia verifica headerele/formatul fisierului in functie de ce asteapta, il va considera corect, dar daca tu vei dori sa-l rulezi ca Python si asa va merge. Pentru portabilitate sunt alte chestii.
si de ce sa nu ne vina vreo idee? >:))))