https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=ArchivbombeArchivbombe - Versionsgeschichte2026-06-04T03:57:50ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Archivbombe&diff=481166&oldid=previmported>Kogger120 am 2. Juli 2024 um 11:52 Uhr2024-07-02T11:52:47Z<p></p>
<p><b>Neue Seite</b></p><div>Eine '''Archivbombe''' (auch ''Dekomprimierungsbombe'' oder ''Zip-Bomb'') ist eine [[Datei]] mit per [[Datenkompression]] gepacktem Inhalt, deren [[Malware|schadhafter Zweck]] darin besteht, beim Entpacken ein unerwartet hohes Vielfaches ihrer Größe anzunehmen<ref name="kasp">{{Webarchiv |url=http://www.viruslist.com/de/hackers/glossary?glossid=188779827 |text=Glossareintrag. |wayback=20121031235419}} [[Kaspersky Lab]].</ref> oder Software zum Entpacken in eine Endlosschleife zu bringen. Die gepackten Inhalte können beispielsweise Grafikdateien mit dem immer gleichen Muster oder Textdateien mit sich wiederholenden Zeichenfolgen sein. Solche Regelmäßigkeiten können außerordentlich stark komprimiert werden. Ebenso können sie Fehler in der Entpacksoftware ausnutzen, um [[Rekursion]]en zu erzeugen.<br />
<br />
== Angriffsweg ==<br />
Der vorwiegende Angriffsweg der Archivbomben sind [[E-Mail]]s, denen sie als Anhang beigefügt sind. Eine solche E-Mail ist nicht sehr groß und stellt keinerlei auf den ersten Blick erkennbare Gefahr dar.<br />
<br />
Archivbomben sind nicht primär dafür gedacht, von dem Benutzer entpackt zu werden, sondern zielen vorwiegend auf [[Antivirenprogramm]]e ab: Diese scannen Dateien – auch solche ''innerhalb'' von Archiven – häufig schon beim Dateieingang. Dafür müssen die Archive in einen temporären Speicherbereich entpackt werden. Dabei besteht die Gefahr, dass die entpackten Dateien den Arbeitsspeicher oder die Festplatte füllen und das System gänzlich zum Stillstand bringen. Außerdem benötigt der Scanvorgang viel Rechenzeit. Bei rekursiven Archivbomben hingegen bleibt das System i.&nbsp;d.&nbsp;R. funktionsfähig, lediglich der Virenscanner kann seine Aufgabe (nämlich das Scannen des Archivs) niemals vollenden. Dieser Art von Archivbomben kann entgegengewirkt werden, indem die Antivirensoftware eingehende Archive nur bis zu einer bestimmten Tiefe überprüft. Der Angriff ist also der Versuch eines [[Denial of Service]].<ref name="kasp" /><br />
<br />
Die Größeninformation in den Attributen des Archivs abzufragen, hat keinen zusätzlichen Nutzen, da diese beispielsweise per [[Hex-Editor]] manipuliert sein können.<br />
<br />
== Beispiele ==<br />
=== 42.zip ===<br />
Eine bekannte Archivbombe ist ''42.zip''. Fünfmal rekursiv gepackt, beträgt ihre Größe lediglich 42 [[Byte#Vergleich|Kilobyte]]. Beim Entpacken wächst das Datenvolumen allerdings um das Hundertmilliardenfache auf 4,5 Petabyte:<ref>[https://unforgettable.dk/ www.unforgettable.dk] – Details zum Aufbau von 42.zip (englisch)</ref><br />
<br />
{| class="wikitable"<br />
|-<br />
!Struktur<br />
!Gesamtzahl<br /> Dateien<sup>1)</sup><br />
!enthält<br /> jeweils<br />
!unkomprimierte Gesamtgröße (Byte)<br />
|-<br />
|42.zip<sup>2)</sup><br />
|1.048.576<br />
|16 Ordner<br />
|4.503.599.626.321.920 (4,5 PB)<br />
|-<br />
|→ lib0.zip … libf.zip<sup>3)</sup><br />
|1.048.576<br />
|16 Ordner<br />
|4.503.599.626.321.920 (4,5 PB)<br />
|-<br />
|→ book0.zip … bookf.zip<br />
|65.536<br />
|16 Ordner<br />
|281.474.976.645.120 (281 TB)<br />
|-<br />
|→ chapter0.zip … chapterf.zip<br />
|4.096<br />
|16 Ordner<br />
|17.592.186.040.320 (17 TB)<br />
|-<br />
|→ doc0.zip … docf.zip<br />
|256<br />
|16 Ordner<br />
|1.099.511.627.520 (1 TB)<br />
|-<br />
|→ page0.zip … pagef.zip<br />
|16<br />
|{{0}}1 Datei<br />
|68.719.476.720 (68 GB)<br />
|-<br />
|→ 0.dll<sup>4)</sup><br />
|<br />
| {{0}}1<br />
|4.294.967.295 (4,3 GB)<br />
|}<br />
Anmerkungen:<br />
* <sup>1)</sup> Ausschließlich die unterste Hierarchiestufe –&nbsp;also die Dateien ''page0.zip … pagef.zip''&nbsp;– enthält Dateien; die darüber Liegenden dienen nur als [[Multiplikation|Multiplikatoren]] für die Anzahl der Dateien in der untersten Hierarchiestufe. Die Angaben sind nicht [[Kumulierte Häufigkeit|kumuliert]] und dienen vornehmlich der Anschauung – so berücksichtigt die Gesamtzahl der Dateien nur die Anzahl der insgesamt enthaltenen komprimierten Dubletten von ''0.dll'' und nicht die ebenfalls mit eingebetteten [[Containerdatei]]en (deren Anteil an der Gesamtmenge allerdings auch vernachlässigbar gering ausfällt).<br />
* <sup>2)</sup> Die Datei ''42.zip'' fasst lediglich die 16 [[Containerdatei]]en der nächst-unteren Hierarchiestufe zu einer einzigen Datei zusammen, daher ändert sich an Gesamtgröße und Anzahl im Vergleich zur nächst-unteren Stufe nichts.<br />
* <sup>3)</sup> Die o.a. Notierung der [[Dateiname]]n erfolgt nach dem Schema ''Präfix'''#''''' — „#“ ist dabei der [[Variable (Logik)|Platzhalter]] für eine einstellige [[Hexadezimalzahl]], kann also insgesamt 16 Werte (0, 1, 2, […], 9, A, B, C, D, E, F) annehmen. „lib0.zip … libf.zip“ steht also für 16 durchnummerierte einzelne Dateien.<br />
* <sup>4)</sup> Die Datei ''0.dll'' besitzt durchgehend ein 0xAA-[[Bytemuster]] über die gesamten 4.294.967.295 [[Byte]]s hinweg und ist durch die damit einhergehende [[Redundanz (Informationstheorie)|Redundanz]] sehr gut [[Verlustfreie Kompression|verlustfrei komprimierbar]].<br />
<br />
== Weitere ==<br />
Eine „Zip Files All The Way Down“ genannte Methode ähnelt der 42.zip – hierbei wird allerdings eine [[ZIP-Dateiformat|zip]]-, [[gzip]]- oder [[tar (Packprogramm)|tar]]-Datei erstellt, die sich rekursiv selbst enthält.<ref>[https://research.swtch.com/2010/03/zip-files-all-way-down.html ''Zip Files All The Way Down''.] research.swtch.com; abgerufen am 21. Februar 2011.</ref><br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Schadprogramm]]</div>imported>Kogger120