被詛咒的眼睛

　　對於某娛樂論壇的大部分用戶來說，今天是個黑色的日子，因為他們在看過一個《被詛咒的眼睛》油畫帖子后，系統遭到了不明原因的破壞。

　　論壇管理層的技術人員立即對這個帖子進行了多次分析，可是整個頁面就只有一個JPEG圖片的連接，其他惡意代碼和程序根本不存在。入侵者靠什麼破壞了看帖用戶的機器？難道竟是這個JPEG圖片？

　　答案恐怕讓人難以接受，的確就是這幅JPEG圖片讓用戶感染了病毒。儘管病毒研究一直未曾停止，可是發展到這個地步，實在讓人不能承受：再下去是不是打開一個文本文件都會被感染病毒？

　　圖片帶毒來襲，實在讓所有人都擦了一把汗，然而我們都知道，JPEG、GIF等格式圖片不具備可以執行自身並散播病毒的條件，這不符合邏輯。回憶一下2004年9月14日的事，微軟發布了MS04-028安全公告：JPEG處理(GDI +)中的緩衝區溢出可能使代碼得以執行。沒錯，就是這個漏洞，它的術語叫GDI+，對應的動態鏈接庫為GdiPlus.dll，這是一種圖形設備介面，能夠為應用程序和程序員提供二維媒介圖形、映像和版式，大部分Windows程序都調用這個DLL完成JPEG格式圖片的處理工作。但是現在，正是這個「公眾人物」成了眾矢之的。

　　說到這裡，有基礎的讀者應該明白了吧：並不是圖片自己能傳播病毒，而是系統負責圖形處理工作的模塊會在處理圖片時發生溢出導致圖片內攜帶的惡意指令得以執行破壞。如果某個圖片工具不調用這個系統模塊，而是使用自己的處理模塊，那麼同樣包含惡意指令的圖片就不能達到破壞目的。但是因為這個系統模塊是默認的處理模塊，所以大部分程序在「JPEG病毒」面前紛紛落馬。

　　這個溢出是怎麼產生的呢？這要從系統如何讀取JPEG格式圖形的原理說起，系統處理一個JPEG圖片時，需要在內存里載入JPEG處理模塊，然後JPEG處理模塊再把圖片數據讀入它所佔據的內存空間里，也就是所說的緩衝區，最後我們就看到了圖片的顯示，然而就是在圖片數據進入緩衝區的這一步出了錯——Windows規定了緩衝區的大小，卻沒有嚴格檢查實際容納的數據量，這個帶缺陷的邊界檢查模式導致了噩夢：入侵者把一個JPEG圖片的數據加工得異常巨大並加入惡意指令，那麼這個圖片在系統載入內存時候會發生什麼情況呢？圖片數據會漲滿整個JPEG處理模塊提供的緩衝區並恰好把惡意指令溢出到程序自身的內存區域，而這部分內存區域是用於執行指令的，即核心區，於是惡意指令被程序誤執行了，入侵者破壞系統或入侵機器的行為得以正常實施。有人也許會疑惑，入侵者都是神運算元嗎，他們為什麼能準確的知道會是哪些數據可以溢出執行？答案很簡單，因為 Windows在分配JPEG處理模塊的空間時，給它指定的內存起始地址是固定的，入侵者只要計算好這個空間大小，就能知道會有哪些數據被執行了，所以 JPEG病毒迅速傳播起來。

　　所謂JPEG病毒，並不是JPEG圖片能放出病毒，而是系統處理JPEG圖片的模塊自己執行了JPEG圖片攜帶的病毒，所以我們大可不必人心惶惶，只要補上了GDIPLUS.DLL的漏洞，那麼即使你機器上的所有JPEG圖片都帶有病毒數據，它們也無法流竄出來搞破壞，正如美國馬薩諸塞州立大學助理教授奧斯汀所言：「病毒不僅僅是可自我複製的代碼，他們需要通過可執行代碼的方式來進行傳播。JPEG文件不能執行代碼，他們是由應用軟體打開的數據文件。應用軟體不會去查找數據文件中的可執行的代碼，為此不會運行這些病毒代碼。」

嗯，不錯的文章，其實大部分病毒並不可怕。

好文

病毒和不良程序無孔不入，最隱蔽的是嵌在多媒體文件中，恰恰許多殺毒軟體跳過此類文件（ewido除外）的檢測，所以及時打上補丁和用合適的殺軟非常必要。