Cambio en el tamaño del ejecutable (* .exe) mientras se transfiere un archivo de una PC a otra

Me encuentro con un problema extraño con un archivo ejecutable. Cuando transfiero este ejecutable de la PC A a la PC B usando IP messenger, su tamaño cambia. Funcionalmente, todavía se comporta de la misma manera. Nuevamente, cuando transfiero el archivo de la PC B a la PC C, el ejecutable vuelve al tamaño original. Intenté comparar estos dos archivos ejecutables de diferentes tamaños usando HEX compare y hay muchos bytes que han cambiado.

¿Cuál podría ser la razón de ésto?

NOTA: Todos estos sistemas utilizan el sistema operativo Windows.

windows Saurabh Gandhi
fuente

¿Has actualizado tus definiciones de virus últimamente? Además, ¿podría confirmar que el hash (como CRC32) también cambia?

Gleno

Diferentes tamaños de bloque podrían causar un cambio menor en el tamaño real del archivo, pero el contenido del archivo no debería cambiar.

user55325

@Gleno: Solo para tu información, pero CRC32 no es un verdadero "hash" y es fácil de colisionar. Para la integridad del archivo, MD5 o SHA son mejores.

Grawity

@grawity, la probabilidad de que dos archivos diferentes generen el mismo CRC32 es lo suficientemente baja. Tienes razón en que existen mejores hashes, pero CRC32 es una verificación muy común para la integridad del archivo.

Gleno

@Gleno: Sí, pero solo contra la corrupción accidental, no contra el malware. (Sin relación, pero interesante: muchos ISO distribuidos por Microsoft tienen FFFFFFFF como su CRC32.)

Gravedad

Respuestas:

En el pasado, he tenido problemas con CR / LF -> Conversión CR, o conflictos de modo de transferencia ASCII / binario en numerosos contextos de transferencia de archivos. Si la teoría de la carga útil del virus no funciona, es posible que desee seguir este camino para ver si esto está sucediendo en su caso.

baitisj
fuente

Si la transferencia de un ejecutable del sistema A al sistema B lo cambia de alguna manera, y al transferirlo nuevamente al sistema A aparentemente lo cambia de nuevo, entonces diría que es un signo común de una infección de virus. Es decir, el archivo EXE está infectado. Sin embargo, en el sistema original (A), este virus está activo y hace que el tamaño del archivo se informe como estaba originalmente. Sin embargo, al comprobar el archivo copiado en un sistema "limpio" (B) puede ver la diferencia.

Mi consejo es que cargue el archivo EXE del sistema B (donde el archivo parece ser más grande) a VirusTotal , que lo verificará con muchos antivirus simultáneamente, en cuestión de minutos. Si el archivo está infectado, lo más probable es que lo sepa.

haimg
fuente

¿Puede explicar por qué un virus haría que un archivo parezca más grande en un sistema? Teóricamente, supongo que podría ver cómo podría afectar lo que una utilidad podría mostrar como un tamaño. ¿Me estoy perdiendo otra posibilidad?

Belmin Fernández

Cuando un virus infecta un archivo, le agrega su carga útil, por lo que el archivo crece. Para evitar la detección, en un sistema infectado (donde el virus es residente y activo), muestra el tamaño del archivo como era antes de la infección. Pero si copia ese archivo en un sistema limpio, verá su tamaño real, que es lo que era antes de que se infectara más el tamaño de la carga útil del virus.

Haimg

Curiosidad: ¿Sabe cómo un virus puede controlar qué tamaño se informa para un archivo?

Belmin Fernández el

Sí. Trabajé en una compañía antivirus hace muchos años. Básicamente se escribe un controlador de filtro de sistema de archivos ... A continuación, puede hacer todo tipo de cosas "divertida", por ejemplo, regresan tamaño de archivo diferente dependiendo de quién lo pregunte, etc.

haimg

Gracias por la idea! +1, cosas interesantes. Perdón por la tangente :-)

Belmin Fernández