【发布时间】:2020-05-31 23:00:35
【问题描述】:
我正在尝试确定是否可以通过将视频转换为其他格式来清除包含恶意软件的视频。类似于如何通过将包含恶意软件的图像转换为 .BMP 来清除它们。
由于视频格式的复杂性,我希望这不是那么简单,但我无法通过谷歌搜索许多重新措辞的问题找到明确的答案,所以我希望这里的人可能有答案:)。
谢谢。
【问题讨论】:
标签: video malware video-conversion antimalware
【发布时间】:2020-05-31 23:00:35
【问题描述】:
我认为您不会找到明确的答案,因为这取决于特定的恶意软件攻击。
例如(带有虚构的攻击示例):
- 如果恶意软件依赖数据流中的一组特定字节来触发攻击,那么从一种格式转码和重新打包到另一种格式很可能会更改字节并因此击败攻击。
- 如果恶意软件是由用户单击视频中的链接或扫描图像中的条形码等触发的,则转码不会影响攻击。
看看第一点 - 给定的帧可能会被“包裹”在多个层中:
- 原始像素位图
- 原始像素编码(例如 h.264、h.265 编码)
- 编码的视频流打包到包含音频流、字幕等的容器中(例如 mp4、avi 容器)
- 容器分成“块”或分段以进行流式传输(例如 HLS 或 DASH 流式传输格式)。
如果我们将从一个编解码器转码到另一个编解码器作为更改格式的示例,那么,如果您的恶意软件位于原始像素中的特定字节序列中,那么此转换将更改字节并可能将其删除。如果字节序列在容器或流协议中,例如在容器元数据字段之一中,则恶意软件将存活。
同样,如果您将容器从 mp4 更改为 avi,但编解码器保持不变,那么如果恶意软件存在于编码视频中,它就会存活。
如果您想确保所有内容都已更改,则需要更改编解码器、容器和流式传输协议,此外还可能删除所有元数据和文本,因为即使更改容器也可能保持不变。
请注意,流也可以加密,这可能会有所帮助,具体取决于易受攻击的组件所在的位置 - 即它是路由器还是防火墙,但请注意许多加密方案仅部分加密视频流,以提高效率并允许元数据在某些情况下可以阅读。
【讨论】:
-
谢谢米克。我纯粹从播放视频文件来查看它,并试图减轻激活恶意软件的风险。关于您的第一个点,我知道对视频本身进行转码可以更改视频本身的字节,但是某些视频格式中是否还有其他可执行部分可能会根据您将视频更改为的格式保持不变,或者是否安全就是说,将 mp4 到 avi 等重要内容的格式更改为 avi 基本上会改变一切?我正在查看是否从 jpeg 的简单概念到 bmp。
-
@Markus,我在答案中添加了一些注释 - 例如,基本上您需要更改多个“层”以确保恶意字节模式无法生存。顺便说一句,我怀疑可能有比视频更容易将字节传输到终端设备的方法,但我猜你有一个需要防范的特定场景。
-
感谢您提供非常详细的解释,这给了我所希望的理解程度,我现在了解我正在处理的复杂程度。一个很好的答案,太棒了。