Modification de la taille de l'exécutable (* .exe) lors du transfert de fichiers d'un PC à un autre

8

Je rencontre un problème étrange avec un fichier exécutable. Lorsque je transfère cet exécutable du PC A au PC B à l'aide d'IP Messenger, sa taille change. Fonctionnellement, il se comporte toujours de la même manière. Encore une fois, lorsque je transfère le fichier du PC B vers le PC C, l'exécutable revient à sa taille d'origine. J'ai essayé de comparer ces deux fichiers exécutables de différentes tailles en utilisant HEX compare et il y a beaucoup d'octets qui ont changé.

Quelle pourrait en être la raison?

REMARQUE: tous ces systèmes utilisant le système d'exploitation Windows.

windows Saurabh Gandhi
la source
4
Avez-vous mis à jour vos définitions de virus récemment? Pouvez-vous également confirmer que le hachage (comme CRC32) change également?
Gleno
3
Des tailles de bloc différentes peuvent entraîner une modification mineure de la taille réelle du fichier, mais le contenu du fichier ne doit pas changer.
user55325
@Gleno: Juste pour info, mais CRC32 n'est pas un vrai "hash" et est facile à heurter. Pour l'intégrité des fichiers, MD5 ou SHA sont meilleurs.
user1686
@grawity, la probabilité que deux fichiers différents produisent le même CRC32 est suffisamment faible. Vous avez raison, car il existe de meilleurs hachages, mais CRC32 est une vérification très courante de l'intégrité des fichiers.
Gleno
@Gleno: Oui, mais uniquement contre la corruption accidentelle, pas contre les malwares. (Sans rapport, mais intéressant: de nombreux ISO distribués par Microsoft ont FFFFFFFF comme CRC32.)
user1686

Réponses:

1

Dans le passé, j'ai rencontré des problèmes avec la conversion CR / LF -> CR, ou des conflits de mode de transfert ASCII / binaire dans de nombreux contextes de transfert de fichiers. Si la théorie de la charge utile du virus ne fonctionne pas, vous voudrez peut-être suivre cette voie pour voir si cela se produit dans votre cas.

baitisj
la source
4

Si le transfert d'un exécutable du système A vers le système B le modifie d'une certaine manière, et le retransfert vers le système A le modifie apparemment , je dirais que c'est un signe courant d'une infection virale. Autrement dit, le fichier EXE est infecté. Cependant, sur le système d'origine (A), ce virus est actif et rend la taille du fichier à signaler telle qu'elle était à l'origine. Cependant, en vérifiant le fichier copié sur un système "propre" (B), vous pouvez voir la différence.

Mon conseil est de télécharger le fichier EXE du système B (où le fichier semble être plus gros) sur VirusTotal , qui le fera vérifier avec de nombreux antivirus simultanément, en quelques minutes. Si le fichier est infecté, vous le saurez très probablement.

haimg
la source
Pouvez-vous expliquer pourquoi un virus ferait apparaître un fichier plus gros sur un système? Théoriquement, je suppose que je pourrais voir comment cela pourrait affecter ce qu'un utilitaire pourrait afficher comme taille. Suis-je en train de manquer une autre possibilité?
Belmin Fernandez
Lorsqu'un virus infecte un fichier, il y ajoute sa charge utile, de sorte que le fichier se développe. Pour éviter la détection, sur un système infecté (où le virus est résident et actif), il affiche la taille du fichier telle qu'elle était avant l'infection. Mais si vous copiez ce fichier sur un système propre, vous voyez sa vraie taille, ce qui était ce qu'il était avant qu'il ne soit infecté, plus la taille de la charge utile du virus.
haimg
Curiosité: savez-vous comment un virus peut contrôler la taille signalée pour un fichier?
Belmin Fernandez
4
Oui. J'ai travaillé dans une entreprise antivirus il y a plusieurs années. Fondamentalement, vous écrivez un pilote de filtre de système de fichiers ... Ensuite, vous pouvez faire toutes sortes de choses "drôles", par exemple retourner une taille de fichier différente en fonction de la personne qui le demande, etc.
haimg
1
Merci pour la perspicacité! +1, des trucs intéressants. Désolé pour la tangente :-)
Belmin Fernandez