一張看起來十分正常的可愛貓咪或美女圖片，可以把惡意代碼隱藏在圖片像素中。當(dāng)你點擊這張圖片時，計算機便會中招。

印度安全研究人員薩米爾·沙哈把他發(fā)現(xiàn)的這種隱藏惡意程序的方法稱為“stegosploit”，只需看一眼被這種方法處理過的圖片文件，你就會被黑掉。沙哈在上周四荷蘭阿姆斯特丹的黑客會議(HITB)上講解了這項黑客技術(shù)。

“惡意程序是一門藝術(shù)。”

一般情況下，惡意軟件往往會以諸如PDF、Word等辦公文檔作為郵件附件的形式夾帶以形成傳播。但沙哈使用的是“密寫”(Steganography)技術(shù)，把信息隱藏在圖片中，肉眼無法識別。

密寫經(jīng)常被恐怖分子用來在圖片和視頻文件中秘密的傳送信息，美國政府的特工被迫觀看大量的色情圖片和視頻以期望能從中找到秘密信息。沙哈則把這種概念運用到了黑客技術(shù)上。他把代碼“寫”進圖片像素，然后通過HTML5的可遞交腳本的動態(tài)Canvas元素還原。沙哈將這一過程稱為“密汁”。

“我無需建立網(wǎng)站，甚至不需要注冊域名。我只需把一張圖片上傳到網(wǎng)上，然后把地址告訴你。當(dāng)你在瀏覽器中查看這張圖片時，惡意程序就會被觸發(fā)。”

惡意代碼是圖片代碼與Java腳本的混合，沙哈稱之為“IMAJS”，可藏進JPG或PNG格式的圖片文件中。除非瀏覽者把圖片放大仔細查看，否則無法無現(xiàn)這是一張“有問題”的圖片。 

這張圖片可以黑掉你的計算機

下面第一個視頻中，沙哈演示了如何一步一步把惡意代碼寫進圖片：

第二個視頻，則顯示了惡意軟件是如何起作用的。需要用戶在瀏覽器中查看圖片，或是點擊圖片：

圖片一旦被點擊，CPU的使用率便會上升到100%，意味著惡意程序開始運行。它可以把受害者計算機上的數(shù)據(jù)發(fā)送給攻擊者，還能夠在受害者的計算機上建立一個文本文件，其中寫著“你被黑了!”。

圖像文件已不能再被“信任”，下次點擊它的時候，三思而后行。

惡意程序還可以設(shè)計更多的功能，如下載和安裝間諜軟件。沙哈表示，他用了幾乎5年的業(yè)余時間來研究這項技術(shù)。目前他還未在圖片分享網(wǎng)站上測試這項技術(shù)，但他承認這種方法并不在任何情況下都適用。

原文地址：http://www.aqniu.com/tools/7955.html