Можно ли очистить видео, содержащее вредоносное ПО, с помощью преобразования формата?

Question

Я пытаюсь выяснить, можно ли очистить видео, содержащее вредоносное ПО, путем преобразования видео в другой формат. Подобно тому, как изображения, содержащие вредоносное ПО, можно очистить, преобразовав их в .BMP.

Я ожидаю, что это не так просто из-за сложности форматов видео, но я не смог найти окончательного ответа от Google много перефразированных вопросов, поэтому я надеюсь, что кто-то здесь может иметь ответ:).

Спасибо.

Answer 1

Не думаю, что вы найдете однозначный ответ на этот вопрос, поскольку это будет зависеть от конкретной атаки вредоносного ПО.

Например (с вымышленными примерами атак):

• если вредоносная программа использует определенный набор байтов в потоке данных для запуска атаки, то перекодирование и переупаковка из одного формата в другой, скорее всего, изменят байты и, следовательно, победят атаку.
• если вредоносная программа инициируется тем, что пользователь щелкает ссылку в видео или сканирует изображение на наличие штрих-кода и т. д. c, тогда перекодирование не повлияет на атаку.

Глядя на первую точку - данный кадр может быть транспортируется «обернутым» в несколько слоев:

• битовый массив необработанных пикселей
• кодированный необработанный пиксель (в кодировке egh264, h.265) * кодированный видеопоток 1016 *
• упакованный в контейнер с аудиопотоки, субтитры и т. д. c (например, mp4, контейнер avi)
• контейнер, разбитый на «куски» или сегменты для потоковой передачи (например, HLS или DA SH streami ng format).

Если мы рассмотрим перекодирование из одного кода c в другой как пример изменения формата, то, если ваша вредоносная программа находится в определенной последовательности байтов в необработанных пикселях, то это преобразование изменит байты и предположительно удалит его. Если бы последовательность байтов была в контейнере или в протоколе потоковой передачи, например, в одном из полей метаданных контейнера, то вредоносная программа выживет.

Аналогично, если вы изменили контейнер с mp4 на avi, но сохранили код c тот же, тогда вредоносная программа выживет, если она будет в зашифрованном видео.

Если вы хотите убедиться, что все изменилось, вам нужно изменить код c, контейнер и протокол потоковой передачи и, возможно, дополнительно удалит все метаданные и текст, поскольку это, вероятно, останется неизменным даже при смене контейнеров.

Обратите внимание, что потоки также могут быть зашифрованы, что может помочь в зависимости от того, где находится уязвимый компонент, т.е. это маршрутизатор или брандмауэр, но имейте в виду, что многие схемы шифрования только частично шифруют видеопотоки, для эффективности и для возможности чтения метаданных в некоторых случаях.