Зміна розміру виконавчого файлу (* .exe) під час передачі файлу з одного ПК на інший

У мене виникає дивна проблема з en виконуваним файлом. Коли я передаю цей виконуваний файл з ПК A на ПК B за допомогою месенджера IP, його розмір змінюється. У функціональному відношенні він все ще веде себе так само. Знову, коли я надалі переношу файл з ПК B на ПК C, виконуваний файл повертається до початкового розміру. Я спробував порівняти обидва ці виконувані файли різного розміру за допомогою порівняння HEX і є досить багато байтів, які змінилися.

Що може бути причиною цього?

ПРИМІТКА. Усі ці системи, що використовують операційну систему Windows.

windows

— Саураб Ганді
джерело

Ви останнім часом оновлювали свої визначення вірусів? Також можете підтвердити, що хеш (як CRC32) також змінюється?

— Глено

Різні розміри блоку можуть спричинити незначну зміну фактичного розміру файлу, але вміст файлу не повинен змінюватися.

— користувач55325

@Gleno: Просто FYI, але CRC32 не є справжнім "хешем" і його легко зіткнути. Для цілісності файлів краще MD5 або SHA.

— користувач1686

@grawity, ймовірність того, що два різні файли виводять один і той же CRC32, недостатньо низька. Ви праві, що є кращі хеші, але CRC32 - це дуже поширена перевірка на цілісність файлів.

— Глено

@Gleno: Так, але лише проти випадкової корупції, а не зловмисного програмного забезпечення. (Непов’язаний, але цікавий: багато ISO, що розповсюджуються Microsoft, мають FFFFFFFF як CRC32.)

— користувач1686

Відповіді:

У минулому у мене виникли проблеми з перетворенням CR / LF -> CR, або конфліктами режиму передачі ASCII / бінарних файлів у численних контекстах передачі файлів. Якщо теорія корисного навантаження на віруси не зникає, ви, можливо, захочете піти цим шляхом, щоб побачити, чи відбувається це у вашому випадку.

— baitisj
джерело

Якщо перенесення виконуваного файлу з системи A в систему B певним чином змінює його і переносить його назад до системи A, мабуть, змінює його назад, то я б сказав, що це звичайна ознака вірусної інфекції. Тобто, файл EXE заражений. Однак в оригінальній системі (A) цей вірус активний і робить розмір файлу повідомлення таким, яким він був спочатку. Однак, перевіривши скопійований файл у "чистій" системі (B), ви можете побачити різницю.

Моя порада: завантажте файл EXE із системи B (де файл здається більшим) на VirusTotal , який перевірятиме одночасно багато антивірусів за лічені хвилини. Якщо файл заражений, ви, ймовірно, це знаєте.

— haimg
джерело

Чи можете ви пояснити, чому вірус зробив би файл, який виглядає більшим у системі? Теоретично, я думаю, я міг бачити, як це може вплинути на те, що утиліта може відображатися як розмір. Я пропускаю іншу можливість?

— Белмін Фернандес

Коли вірус заражає файл, він додає йому корисне навантаження, тому файл зростає. Щоб уникнути виявлення, в зараженій системі (де вірус є резидентом та активною) він показує розмір файлів таким, яким він був до зараження. Але якщо ви скопіюєте цей файл у чисту систему, ви побачите його справжній розмір, який він був до того, як він заразився плюс розмір корисної навантаження вірусу.

— haimg

Цікавість: Ви знаєте, як вірус може контролювати, який розмір повідомляється для файлу?

— Белмін Фернандес

Так. Я працював у антивірусної компанії багато років тому. В основному ви пишете драйвер фільтру файлової системи ... Тоді ви можете робити всілякі "смішні" речі, наприклад, повертати різний розмір файлу залежно від того, хто просить і т. Д.

— haimg

Дякую за розуміння! +1, цікаві речі. Вибачте за дотичну :-)

— Белмін Фернандес