Alteração do tamanho do executável (* .exe) ao transferir arquivos de um PC para outro

8

Estou encontrando um problema estranho com um arquivo executável. Quando transfiro esse executável do PC A para o PC B usando o IP messenger, seu tamanho muda. Funcionalmente, ele ainda se comporta da mesma maneira. Mais uma vez, quando transfiro o arquivo do PC B para o PC C, o executável volta ao tamanho original. Eu tentei comparar esses dois arquivos executáveis ​​de tamanhos diferentes usando a comparação HEX e existem muitos bytes que foram alterados.

Qual poderia ser a razão disso?

NOTA: Todos esses sistemas usando o sistema operacional Windows.

windows Saurabh Gandhi
fonte
4
Você atualizou suas definições de vírus recentemente? Além disso, você pode confirmar que o hash (como o CRC32) também muda?
Gleno 30/09
3
Tamanhos diferentes de bloco podem causar uma pequena alteração no tamanho real do arquivo, mas o conteúdo do arquivo não deve mudar.
user55325
@ Gleno: Apenas para sua informação, mas o CRC32 não é um "hash" real e é fácil de colidir. Para integridade do arquivo, MD5 ou SHA são melhores.
user1686
@rawity, a probabilidade de dois arquivos diferentes produzirem o mesmo CRC32 é baixa o suficiente. Você está certo de que existem hashes melhores, mas o CRC32 é uma verificação muito comum da integridade dos arquivos.
Gleno 30/09
@ Gleno: Sim, mas apenas contra corrupção acidental, não malware. (Não relacionados, mas interessante: muitos ISOs Microsoft distribuídos têm FFFFFFFF como seu CRC32.)
user1686

Respostas:

1

No passado, tive problemas com conflitos de modo de transferência CR / LF -> CR ou de transferência ASCII / binária em vários contextos de transferência de arquivos. Se a teoria da carga útil do vírus não der certo, convém seguir esse caminho para ver se isso está acontecendo no seu caso.

baitisj
fonte
4

Se a transferência de um executável do sistema A para o sistema B o altera de alguma forma, e a transferência de volta para o sistema A aparentemente altera novamente, então eu diria que é um sinal comum de uma infecção por vírus. Ou seja, o arquivo EXE está infectado. No entanto, no sistema original (A), esse vírus está ativo e faz com que o tamanho do arquivo seja relatado como era originalmente. No entanto, verificando o arquivo copiado em um sistema "limpo" (B), você pode ver a diferença.

Meu conselho é fazer o upload do arquivo EXE do sistema B (onde o arquivo parece ser maior) para o VirusTotal , que fará com que seja verificado com muitos antivírus simultaneamente, em questão de minutos. Se o arquivo estiver infectado, você provavelmente o saberá.

haimg
fonte
Você pode explicar por que um vírus faria um arquivo parecer maior em um sistema? Teoricamente, acho que pude ver como isso poderia afetar o que um utilitário pode exibir como um tamanho. Estou perdendo outra possibilidade?
Belmin Fernandez
Quando um vírus infecta um arquivo, ele adiciona sua carga útil, aumentando o arquivo. Para evitar a detecção, em um sistema infectado (onde o vírus é residente e ativo), ele mostra o tamanho do arquivo como era antes da infecção. Mas se você copiar esse arquivo para um sistema limpo, verá seu tamanho real, que era o que era antes de ser infectado, além do tamanho da carga útil do vírus.
haimg
Curiosidade: Você sabe como um vírus é capaz de controlar o tamanho relatado para um arquivo?
Belmin Fernandez
4
Sim. Eu trabalhei em uma empresa de antivírus há muitos anos. Basicamente você escreve um driver de filtro de sistema de arquivos ... Então você pode fazer todos os tipos de coisas "engraçado", por exemplo, retornar o tamanho do arquivo diferente dependendo de quem está perguntando, etc.
haimg
1
Obrigado pela compreensão! +1, coisas interessantes. Desculpe pela tangente :-)
Belmin Fernandez 2/11/11