ElectroYou - la comunità dei professionisti del mondo elettrico

[lucarelly]

Ciao a tutti,
ho letto su un libro in biblioteca che i programmi in windows (file .exe) hanno come codice iniziale MZ, e che i file .exe che contengono una doppia dicitura MZ potrebbero essere infettati da codice dannoso.
Volevo fare un programma in C che leggesse i caratteri di un file.exe.
Ho scritto un codice banalissimo come questo:

Codice: Seleziona tutto

#include <stdio.h>
int main(){
    char string[400];
    FILE *programma;
programma = fopen ("programma.exe", "r");
fgets(string,400,programma);
//fputs(string,programma);
printf("%s",string);
fclose(programma);
system("pause");
    return 0;
    }

ciò che ottengo, con tutti i programmi che apro è questo:

Codice: Seleziona tutto

MZÉ

come mai non visualizza mai più di tre caratteri?

[TardoFreak]

Probabilmente perché incontra un carattere di terminazione della stringa.
Utilizzando la gets gli stai dicendo di leggere una stringa e la stringa termina con uno 0, un <CR> o un <EOF>.

[lucarelly]

si, errore stupido!
ho fatto un ciclo che controlla la fine del file e continua a leggere tutti i caratteri.
Qualcuno può confermare il fatto che una doppia presenza dei caratteri MZ significa che il file è infetto?

[xyz]

Qualcuno può confermare il fatto che una doppia presenza dei caratteri MZ significa che il file è infetto?

No, prova a scrivere un programma con:

Codice: Seleziona tutto

char *bar = "MZ";

sarebbe infetto secondo te ? E' un falso positivo.

La presenza del mark "MZ" è solo un indizio della presenza di un altro eventuale programma binario non amichevole.

Una curiosità MZ sono le iniziali di Mark Zbikowski un programmatore della Microsoft ai tempi del MS-DOS.

[angus]

ho fatto un ciclo che controlla la fine del file e continua a leggere tutti i caratteri.

Io il ciclo non lo vedo, in ogni caso ricordati che stai lavorando con dei file BINARI, non file di testo...
Se usi fread ti conviene leggere un certo quantitativo di dati e metterlo in un buffer...
Ricorda che alcuni caratteri non sono stampabili, ti conviene forse stamparli in esadecimale (%x)...

Qualcuno può confermare il fatto che una doppia presenza dei caratteri MZ significa che il file è infetto?

Non direi proprio.

[lucarelly]

Stampando in esadecimali non vedresti nessun MZ, o almeno non dovresti

[angus]

No, infatti.
Però sei sicuro che vedi tutto il resto.
Io invece non sono sicuro che tu abbia capito il senso del mio consiglio.

[lucarelly]

Io invece non sono sicuro che tu abbia capito il senso del mio consiglio.

No infatti.
Convertendo in esadecimali vedo tutto, ma non saprei cosa guardare.

[angus]

se cerchi "MZ" ti basta sapere come è scritto in hex.. 4D 5A