できるWindowsテーマファイル（aero.msstyles）は、特にUIスクリプトでは、その資源でスパイウェアに

Question

ショートバージョンをサイドロードする：私は特定のを使用したい

：が話題

詳細なバージョンを参照してくださいWindows用のサードパーティのテーマ。私は既にテーマのWindowの制限を無効にするために自分自身でコンパイルしたオープンソースのソリューションを使用しています。

以前は、DLLに付属しているサードパーティーのテーマに関連するmod（例えば、ログインuiの場合はauthui.dll、システムアイコンの変更の場合はimageres.dll）を使用する場合、不明なDLLを使用することは避けてくださいDLLのテーマに関連するリソース（ビットマップ、アイコングループ、UIスクリプトなど）は、未処理のMS Dllのものです。私は、リソースが変更されるが、DLLまたはexeの実行可能要素は残されている、このリソース接ぎ木と呼んでいます。

私がインストールしたいテーマに戻って、リソースハッカーによっても変更可能なaero.msstylesだけを確認するためにsha256ハッシュを使用しました。だから私は普通にやったのと同じことをして、第三者のテーマからWindowsの独自のaero.msstylesにリソースを移しました。問題は、私が読んだり、内容を知ることができない種類のリソースに遭遇したことです。それはVARIANTと呼ばれています。 VMで行われたいくつかの実験では、リソースハッカーが逆コンパイルできないバイナリUIスクリプトのように見えます。私は通常私が転送するUIスクリプトを読むことができるようにしたいが、私はこれではできない。

これは実際のセキュリティリスクを構成しますか？ UIスクリプトに何らかの悪用がある可能性がありますか？テーマファイル（msstyle）の機能はシステムUIの外観を調整することなので、私にとってはそうは思われませんが、テーマシステム全体の内部的な作業については十分に分かりません。仮想マシンからテーマを取り出す前に、私は他の視点を得ると思っていました。

Answer 1

私はvBinDiffを使って、変更されたVARIANT/NORMALバイナリと元のテーマの16進コードを比較しました。 binhexesをコピーしてWinMergeと比較する2つのテキストファイルに保存することもできます。

vBinDiffとWinMergeは、バイナリに加えられた変更と追加/削除を並べて表示します。私はこれらの違いを読んで、その90％は4オクテット（4バイト）を超えていませんでした。典型的には、16進エディタを使用して色を修正するときに目にするものです。最大の相違点は、追加された32バイトのコードでした。

（1）余分な画像リソースを追加し、参照に必要なエントリを追加しました。（2）不要なコードが入っています。

2の可能性に取り組むために、私は小さなトロイの木馬コードがどのように取得できるかを調べました。コンパイルされたUIスクリプトの場合、トロイの木馬が32バイトに詰まっている可能性はどれくらいありますか？私はDOSの時代から古い17バイトのウイルスをいくつか見つけましたが、それは既知の振る舞いを考えると非常に迅速に明らかになるので、私はすぐに無視しました。バックドアとダウンロード能力を備えたフル機能のトロイ人までは、2012年に発見された最小の20kb（トロイの木馬）が見つかりました.Catchy32もまだトロイの木馬と考えられていますが、よりシンプルで非常に特殊な機能と、約580バイト（reference）。この情報に基づいて、私は、32バイトのコードでコードをスリップさせることは（不可能ではないにしても）起こりそうもなく、問題のリソースがきれいであることを立証しました。

これは私が質問した質問に答えることはできません（テーマのバイナリUIスクリプトリソースは悪意のあるコードを持つことができます）が、私のジレンマを解決します。私はそれを共有すると思った。