點陣圖特性

　　他是一家公司的網路管理員，在伺服器維護和安全設置方面有足夠多的經驗，因此他無需懼怕那些利用瀏覽器漏洞實現的病毒。這天他在一個技術論壇里看到一個網友發的關於AMD某些型號的處理器存在運算瑕庇的帖子，並給出一個測試頁面連接，根據官方描述，如果你用的CPU存在瑕庇，那麼你會看到頁面上的測試圖片顯示得破損錯亂。他心裡一驚：自己用的CPU正是這個型號。他馬上點擊了頁面連接。

　　看著頁面上亂七八糟的一幅圖片，他心裡涼了一截：這台機器的CPU居然有問題，而他還要用這台機器處理公司的重要數據的！他馬上去管理部找負責人協商，把顯示著一幅胡里花哨圖片的機器晾在一邊。

　　管理部答應儘快給他更換一台機器，讓他把硬碟轉移過去，因為上面有重要的業務資料。他回來時看到那幅圖片還在耀武揚威，他厭惡的關閉了頁面，照例打開存放資料的文件夾，他的腦袋一下子空白了：資料不見了！誰刪除了？他慌亂的查找硬碟每個角落，可那些文件卻像蒸發了一樣。許久，他終於反應過來了：機器被入侵了！他取下硬碟直奔數據恢復公司而去。

　　事後他仔細分析了原因，因為機器已經通過了嚴格的安全測試而且打了所有補丁，通過網頁漏洞和溢出攻擊是不可能的了，唯一值得懷疑的只有那個所謂的瑕庇測試網頁了，他迅速下載分析了整個頁面代碼，看著頁面源代碼里後綴名為「.BMP」的 IMG標記和一堆複雜的腳本代碼，他知道自己是栽在了BMP木馬的手上。

　　那幅「測試瑕庇」的圖片，無論到什麼機器上都是一樣有「瑕庇」，因為它根本不是圖片文件，而是一個以BMP格式文件頭部開始的木馬程序。

　　為什麼看似溫順的圖片文件也變成了害人的兇器？這要從點陣圖（Bitmap）格式說起，許多朋友應該都知道流傳了很久的被稱為「圖片藏字」的「密文」傳播方式，即在點陣圖文件尾部追加一定量的數據而不會對原點陣圖文件造成太大破壞，這是點陣圖格式的限制寬鬆而造成的。系統判斷一個點陣圖文件的方法並不是嚴格盤查，而是僅僅從文件頭部的54位元組里讀取它的長寬、位數、文件大小、數據區長度就完成了圖片的識別，寬鬆的盤查機制使得BMP木馬得以誕生。

　　不過先要澄清一點概念，BMP木馬並不是在BMP點陣圖文件屁股后追加的EXE文件，而是一個獨立的EXE可執行文件，但是它的文件PE頭部已經用點陣圖文件頭部替換了，由於系統的盤查機制，這個EXE文件就被瀏覽器認成點陣圖文件了。既然是點陣圖，在瀏覽器的程序邏輯里，這是需要下載到Internet高速緩存文件夾然後顯示在頁面上的文件，但是因為這個文件本來就不是點陣圖，它被強制顯示出來以後自然會變成一堆無意義的垃圾數據，在用戶眼裡，它就成了一幅亂七八糟的圖像。但這不是引起木馬危機的原因，要留意的是這些文字：「需要下載到 Internet高速緩存文件夾」！這說明瀏覽器已經請狼入室了——木馬已經在硬碟上安家了，但是目前它還在沉睡中，因為它的文件頭部被改為點陣圖格式，導致它自身已經不能運行，既然不能運行，理所當然就不能對系統構成危害，那麼這隻狼在硬碟呆多久也是廢物一個，入侵者當然不能任由它浪費，因此他們在做個頁面給瀏覽器下載木馬的同時，也會設置頁面代碼讓瀏覽器幫忙脫去這隻狼的外衣——把點陣圖格式頭部換成可執行文件的PE頭部，然後運行它。經過這些步驟，一隻惡狼進駐了系統。

　　這個無法修補的漏洞十分可怕，用戶很難知道他們正在瀏覽的頁面是否正在偷偷下載著木馬數據，因為即使他們打好了所有補丁也無濟於事，木馬是被IE「合法」下載的，不屬於代碼漏洞，而且單靠程序本身也很難判斷這個圖像是不是木馬程序，機器靠二進位完成處理工作，而不是視網膜成象交給大腦判斷。但是，由於這也是需要下載文件的入侵方式，它能否下載完畢以及用戶願不願意去看頁面就要取決於入侵者的社會工程學了，在任何一個頁面里放出一個亂七八糟的圖片或者來一個隱藏的圖片框都不是最明智的選擇，除非利用一些「暇庇聲明」或更能引起人的興趣的伎倆。那家公司的網管之所以會這麼不設防，就是因為攻擊者偷用了人們的「心理盲區」，因為人們對安全、漏洞、病毒、暇庇等內容會特別敏感，所以入侵者發個專業暇庇案例就欺騙了一大堆人，這次是拿真實的事件：AMD某些型號CPU會導致圖像顯示出問題的暇庇來做魚餌，下一次又該拿什麼了呢？

謝謝提醒