Выберите формат, относящийся к текстовым файлам, укажите правильный ответ doc exe gif jpeg

Обновлено: 21.11.2024

WebP – это метод сжатия с потерями и без потерь, который можно использовать для большого количества фотографических, полупрозрачных и графических изображений, найденных в Интернете. Степень сжатия с потерями регулируется, поэтому пользователь может выбрать компромисс между размером файла и качеством изображения. WebP обычно обеспечивает в среднем на 30 % большее сжатие, чем JPEG и JPEG 2000, без потери качества изображения (см. Сравнительное исследование).

Формат WebP по существу направлен на создание более мелких и привлекательных изображений, которые могут помочь ускорить работу в Интернете.

Какие веб-браузеры изначально поддерживают WebP?

Веб-мастера, заинтересованные в повышении производительности сайта, могут легко создавать оптимизированные альтернативы WebP для своих текущих изображений и целенаправленно показывать их в браузерах, поддерживающих WebP.

  • Поддержка WebP с потерями
    • Google Chrome (настольный компьютер) 17+
    • Google Chrome для Android версии 25+
    • Майкрософт Эдж 18+
    • Firefox 65+
    • Опера 11.10+
    • Собственный веб-браузер, Android 4.0+ (ICS)
    • Google Chrome (настольный компьютер) 23+
    • Google Chrome для Android версии 25+
    • Майкрософт Эдж 18+
    • Firefox 65+
    • Опера 12.10+
    • Собственный веб-браузер, Android 4.2+ (JB-MR1)
    • Бледная Луна 26+
    • Google Chrome (для ПК и Android) 32+
    • Майкрософт Эдж 18+
    • Firefox 65+
    • Опера 19+

    Как узнать, поддерживает ли браузер WebP?

    Вам нужно предоставлять изображения WebP только тем клиентам, которые могут отображать их должным образом, и использовать устаревшие форматы для клиентов, которые не могут. К счастью, существует несколько методов обнаружения поддержки WebP как на стороне клиента, так и на стороне сервера. Некоторые провайдеры CDN предлагают обнаружение поддержки WebP как часть своих услуг.

    Согласование содержимого на стороне сервера с помощью заголовков Accept

    Веб-клиенты обычно отправляют заголовок запроса "Принять", указывая, какие форматы контента они готовы принять в ответ. Если браузер заранее указывает, что он «примет» формат image/webp, веб-сервер знает, что он может безопасно отправлять изображения WebP, что значительно упрощает согласование контента. Дополнительные сведения см. по следующим ссылкам.

    Модернизр

    Modernizr – это библиотека JavaScript для удобного определения поддержки функций HTML5 и CSS3 в веб-браузерах. Найдите свойства Modernizr.webp, Modernizr.webp.lossless, Modernizr.webp.alpha и Modernizr.webp.animation< /эм>.

    HTML5

    HTML5 поддерживает

    элемент, который позволяет перечислить несколько альтернативных целевых изображений в порядке приоритета, чтобы клиент запрашивал первое изображение-кандидат, которое он может правильно отобразить. См. это обсуждение на HTML5 Rocks.

    В вашем собственном JavaScript

    Еще один метод обнаружения — попытаться декодировать очень маленькое изображение WebP, в котором используется определенная функция, и проверить его успешность. Пример:

    Обратите внимание, что загрузка изображений не блокируется и асинхронна. Это означает, что любой код, который зависит от поддержки WebP, желательно помещать в функцию обратного вызова.

    Почему Google выпустил WebP с открытым исходным кодом?

    Мы глубоко верим в важность модели с открытым исходным кодом. С WebP в открытом исходном коде любой может работать с форматом и предлагать улучшения. Мы считаем, что благодаря вашим отзывам и предложениям WebP со временем станет еще более полезным графическим форматом.

    Как я могу конвертировать мои личные файлы изображений в WebP?

    Вы можете использовать утилиту командной строки WebP для преобразования ваших личных файлов изображений в формат WebP. Дополнительные сведения см. в разделе Использование WebP.

    Если вам нужно преобразовать много изображений, вы можете использовать оболочку вашей платформы, чтобы упростить операцию. Например, чтобы преобразовать все файлы JPEG в папке, попробуйте сделать следующее:

    Как я могу сам оценить качество изображения WebP?

    В настоящее время вы можете просматривать файлы WebP, конвертируя их в распространенный формат, использующий сжатие без потерь, например PNG, а затем просматривать файлы PNG в любом браузере или средстве просмотра изображений. Чтобы быстро получить представление о качестве WebP, просмотрите галерею на этом сайте для сравнения фотографий.

    Как получить исходный код?

    Код конвертера доступен в разделе загрузок на странице проекта WebP с открытым исходным кодом. Код облегченного декодера и спецификация VP8 находятся на сайте WebM. Спецификацию контейнера см. на странице контейнера RIFF.

    Какого максимального размера может быть изображение WebP?

    WebP совместим с битовым потоком VP8 и использует 14 бит для ширины и высоты. Максимальный размер изображения WebP – 16 383 x 16 383 в пикселях.

    Какие цветовые пространства поддерживает формат WebP?

    WebP без потерь работает исключительно с форматом RGBA. См. спецификацию WebP Bitstream без потерь.

    Может ли изображение WebP увеличиться по сравнению с исходным изображением?

    Да, обычно при преобразовании из формата с потерями в формат WebP без потерь или наоборот. В основном это связано с разницей в цветовом пространстве (YUV420 и ARGB) и преобразованием между ними.

    Существуют три типичные ситуации:

    1. Если исходное изображение имеет формат ARGB без потерь, при пространственном понижении дискретизации до YUV420 появятся новые цвета, которые труднее сжать, чем исходные. Такая ситуация обычно возникает, когда исходный файл имеет формат PNG с небольшим количеством цветов: преобразование в формат WebP с потерями (или, аналогично, в формат JPEG с потерями) может привести к увеличению размера файла.
    2. Если исходный файл имеет формат с потерями, использование сжатия WebP без потерь для захвата источника с потерями обычно приводит к увеличению размера файла. Это не относится к WebP и может произойти, например, при преобразовании источника JPEG в форматы WebP или PNG без потерь.
    3. Если исходный файл имеет формат с потерями и вы пытаетесь сжать его как WebP с потерями с более высоким качеством. Например, попытка преобразовать файл JPEG, сохраненный с качеством 80, в файл WebP с качеством 95 обычно приводит к увеличению размера файла, даже если оба формата содержат потери. Оценить качество источника часто невозможно, поэтому рекомендуется снизить целевое качество WebP, если размер файла постоянно больше. Другая возможность заключается в том, чтобы не использовать настройку качества и вместо этого нацеливаться на заданный размер файла с помощью параметра -size в инструменте cwebp или эквивалентном API. Например, таргетинг на 80 % исходного размера файла может оказаться более надежным.

    Обратите внимание, что преобразование исходного файла JPEG в формат WebP с потерями или источника PNG в формат WebP без потерь не приводит к неожиданностям с размером файла.

    Поддерживает ли WebP прогрессивное или чересстрочное отображение?

    WebP не предлагает обновление прогрессивного или чересстрочного декодирования в смысле JPEG или PNG. Вероятно, это слишком сильно нагружает ЦП и память клиента декодирования, поскольку каждое событие обновления включает в себя полный проход через систему декомпрессии.

    В среднем декодирование прогрессивного изображения JPEG эквивалентно декодированию базового 3 раза.

    В качестве альтернативы WebP предлагает инкрементное декодирование, при котором все доступные входящие байты битового потока используются для попытки как можно скорее создать отображаемую строку образца. Это экономит память, ЦП и усилия по перерисовке на клиенте, предоставляя визуальные подсказки о статусе загрузки. Функция добавочного декодирования доступна через Advanced Decoding API.

    Как использовать привязки Java libwebp в моем проекте Android?

    WebP включает поддержку привязок JNI к простым интерфейсам кодировщика и декодера в каталоге swig/.

    Создание библиотеки в Eclipse:

    1. Убедитесь, что подключаемый модуль ADT установлен вместе с инструментами NDK, а путь к NDK указан правильно (Настройки > Android > NDK).
    2. Создайте новый проект: «Файл» > «Создать» > «Проект» > «Проект приложения Android». или распакуйте libwebp в папку с именем jni в новом проекте.
    3. Добавить swig/libwebp_java_wrap.c в список LOCAL_SRC_FILES.
    4. Щелкните правой кнопкой мыши новый проект и выберите Инструменты Android > Добавить встроенную поддержку . чтобы включить библиотеку в вашу сборку.

    Откройте свойства проекта и выберите C/C++ Build > Behaviour. Добавьте ENABLE_SHARED=1 в раздел Сборка (добавочная сборка), чтобы собрать libwebp как общую библиотеку.

    Примечание: установка NDK_TOOLCHAIN_VERSION=4.8 в целом улучшит производительность 32-разрядной сборки.

    Добавьте swig/libwebp.jar в папку libs/project.

    Создайте свой проект. Это создаст libs/ /libwebp.so .

    Используйте System.loadLibrary("webp") для загрузки библиотеки во время выполнения.

    Обратите внимание, что библиотеку можно собрать вручную с помощью ndk-build и прилагаемого файла Android.mk. В этом случае можно повторно использовать некоторые шаги, описанные выше.

    Соберите libwebp.dll. Это позволит правильно настроить WEBP_EXTERN для экспорта функций API.

    Добавьте libwebp.dll в свой проект и импортируйте нужные функции. Обратите внимание, что если вы используете простой API, вам следует вызвать WebPFree(), чтобы освободить все возвращаемые буферы.

    Зачем мне использовать анимированный WebP?

    Преимущества анимированного WebP по сравнению с анимированным GIF

    WebP поддерживает сжатие как с потерями, так и без потерь; на самом деле, одна анимация может сочетать кадры с потерями и без потерь. GIF поддерживает только сжатие без потерь. Методы сжатия WebP с потерями хорошо подходят для анимированных изображений, созданных из реальных видеороликов, которые становятся все более популярными источниками анимированных изображений.

    WebP требует меньше байтов, чем GIF 1 . Анимированные GIF-файлы, преобразованные в файлы WebP с потерями, на 64% меньше, а файлы WebP без потерь — на 19%. Это особенно важно в мобильных сетях.

    WebP требует меньше времени для декодирования при наличии поиска.В Blink прокрутка или изменение вкладок может скрывать и отображать изображения, в результате чего анимация приостанавливается, а затем пропускается к другому моменту. Чрезмерное использование ЦП, которое приводит к пропуску кадров анимации, также может потребовать от декодера поиска вперед в анимации. В этих сценариях анимированный WebP занимает в 0,57 раза больше общего времени декодирования 2 , чем GIF, что приводит к меньшему количеству рывков во время прокрутки и более быстрому восстановлению после скачков загрузки ЦП. Это связано с двумя преимуществами WebP по сравнению с GIF:

    Изображения WebP хранят метаданные о том, содержит ли каждый кадр альфа-канал, что избавляет от необходимости декодировать кадр, чтобы сделать это определение. Это приводит к более точному выводу о том, от каких предыдущих кадров зависит данный кадр, тем самым уменьшая ненужное декодирование предыдущих кадров.

    Подобно современному кодировщику видео, кодировщик WebP эвристически добавляет ключевые кадры через равные промежутки времени (чего не делает большинство кодировщиков GIF). Это значительно улучшает поиск в длинных анимациях. Чтобы облегчить вставку таких кадров без значительного увеличения размера изображения, WebP добавляет флаг «метода наложения» для каждого кадра в дополнение к методу удаления кадров, который использует GIF. Это позволяет отрисовывать ключевой кадр так, как если бы все изображение было очищено до фонового цвета, не заставляя предыдущий кадр быть полноразмерным.

    Недостатки анимированного WebP по сравнению с анимированным GIF

    При отсутствии поиска прямолинейное декодирование WebP требует больше ресурсов ЦП, чем GIF. WebP с потерями требует в 2,2 раза больше времени на декодирование, чем GIF, а WebP без потерь — в 1,5 раза больше.

    Поддержка WebP не так широко распространена, как поддержка GIF, которая фактически универсальна.

    Добавление поддержки WebP в браузеры увеличивает объем кода и поверхность для атак. В Blink это примерно 1500 дополнительных строк кода (включая библиотеку демультиплексора WebP и декодер изображений WebP на стороне Blink). Обратите внимание, что эта проблема может быть уменьшена в будущем, если WebP и WebM будут использовать более общий код декодирования или если возможности WebP будут включены в WebM.

    Почему бы просто не поддерживать WebM в ?

    Возможно, в долгосрочной перспективе имеет смысл поддерживать видеоформаты внутри тега. Однако делать это сейчас с намерением, чтобы WebM мог выполнять предложенную роль анимированного WebP, проблематично:

    При декодировании кадра, основанного на предыдущих кадрах, WebM требуется на 50 % больше памяти, чем анимированному WebP, чтобы сохранить минимальное количество предыдущих кадров 3 .

    Поддержка видеокодеков и контейнеров сильно различается в зависимости от браузера и устройства. Чтобы упростить автоматическое перекодирование контента (например, для прокси-серверов, экономящих полосу пропускания), браузеры должны будут добавить заголовки accept, указывающие, какие форматы поддерживают их теги изображений. Даже этого может быть недостаточно, поскольку типы MIME, такие как «video/webm» или «video/mpeg», по-прежнему не указывают на поддержку кодека (например, VP8 против VP9). С другой стороны, формат WebP фактически заморожен, и если поставщики, поставляющие его, соглашаются поставлять анимированный WebP, поведение WebP во всех ПА должно быть согласованным; а поскольку заголовок принятия "image/webp" уже используется для указания поддержки WebP, никаких новых изменений заголовка принятия не требуется.

    Видеостек Chromium оптимизирован для плавного воспроизведения и предполагает, что одновременно воспроизводятся только одно или два видео. В результате реализация агрессивно потребляет системные ресурсы (потоки, память и т. д.) для максимального качества воспроизведения. Такая реализация плохо масштабируется для большого количества одновременных видеороликов, и ее необходимо переработать, чтобы она подходила для использования на веб-страницах с большим количеством изображений.

    WebM в настоящее время не включает все методы сжатия из WebP. В результате это изображение значительно лучше сжимается с помощью WebP, чем альтернативы:

    1 Для всех сравнений между анимированным GIF и анимированным WebP мы использовали набор из примерно 7000 анимированных изображений GIF, случайным образом взятых из Интернета. Эти изображения были преобразованы в анимированный WebP с помощью инструмента «gif2webp» с настройками по умолчанию (созданными из последнего исходного дерева libwebp по состоянию на 08.10.2013). Сравнительные значения — это средние значения для этих изображений.

    2 Время декодирования было рассчитано с использованием последней версии libwebp + ToT Blink от 08.10.2013 с использованием эталонного инструмента. «Время декодирования с поиском» вычисляется как «Декодирование первых пяти кадров, очистка кэш-буфера кадров, декодирование следующих пяти кадров и т. д.».

    3 WebM хранит в памяти 4 опорных кадра YUV, причем каждый кадр хранит (ширина+96)*(высота+96) пикселей. Для YUV4:2:0 нам нужно 4 байта на 6 пикселей (или 3/2 байта на пиксель). Итак, эти опорные кадры используют 4*3/2*(ширина+96)*(высота+96) байт памяти. С другой стороны, для WebP требуется, чтобы был доступен только предыдущий кадр (в формате RGBA), что составляет 4 * ширина * высота байта памяти.

    4 Для визуализации анимированного WebP требуется Google Chrome версии 32+

    Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0.Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний.

    При загрузке файлов и просмотре веб-сайтов вы столкнетесь со многими форматами файлов. Большинство из них распространены и встречаются часто, другие менее известны и требуют специальных программ для открытия или использования. Здесь у нас есть список типов файлов, а также приложения, которые вам понадобятся для их работы на вашем компьютере.

    .AVI — аудио/видео с чередованием

    .CSS — каскадная таблица стилей

    .DOC — документ Microsoft Word

    .EXE — исполняемый файл

    Если вы загружаете программу, которую нужно установить, она, скорее всего, будет в виде исполняемого файла.
    Просто дважды щелкните по нему, чтобы установить его на свой компьютер. Осторожно, вирусы!

    .GIF — формат обмена графикой

    Самый распространенный формат изображений в Интернете. Подходит для простых изображений. Прочтите нашу страницу Форматы файлов изображений, чтобы узнать больше.
    Их может отображать ваш браузер или любой графический редактор.

    .HTML/ .HTM — файл языка гипертекстовой разметки

    Большинство страниц, которые вы создаете для веб-сайта, представляют собой файлы HTML. Что такое HTML?
    Вы читаете одно прямо сейчас. Отсортировано.

    .JPG/ .JPEG — файл Объединенной группы экспертов по фотографии

    Еще один очень распространенный формат файла изображения, в основном используемый для фотографий. Опять же, для получения дополнительной информации посетите страницу форматов файлов изображений.
    Они могут отображаться в вашем браузере или графическом редакторе.

    .MIDI/ .MID — цифровой интерфейс музыкальных инструментов

    .MP3 — звуковой файл MPEG Layer 3

    .MPEG/ .MPG — файл группы экспертов по кино

    .MOV/.QT — QuickTime MOVie

    .PDF — переносимый формат документа

    .PNG — переносимая сетевая графика

    PNG — это формат файла, предназначенный для использования вместо GIF. Обычно они немного меньше и обладают расширенными функциями, такими как прозрачность альфа-канала и поддержка 24-битного цвета. Подробнее читайте на нашей странице форматов изображений.
    Ваш браузер может просматривать их.

    .RAM — настоящий аудиофильм

    .RAR — архив RAR

    .TIFF — формат файла изображения с тегами

    Для изображений действительно высокого качества используются файлы TIFF, но их нельзя просмотреть в браузере.
    Ваш единственный выбор — получить — Ура! — редактор изображений.

    .TXT — текстовый файл

    Самый простой из файлов — это просто текст.
    Без сомнения, у вас уже есть Блокнот, SimpleText или ваш браузер, который вы, ммм. определенно есть.

    .WAV — звуковой файл WAVe

    .ZIP — ZIP-файл

    Потоковое мультимедиа

    Как правительственным коммуникаторам, нам часто приходится работать с дизайном во всех форматах, особенно с цифровым дизайном. Но когда вам нужно добавить изображение на свой веб-сайт, в электронное письмо или отправить сообщение в социальной сети, это быстрый и простой процесс? Знаете ли вы, как такая простая вещь, как формат файла, может повлиять на внешний вид вашего сообщения?

    Мы собрали некоторые сведения о трех основных форматах изображений для веб-дизайна, чтобы помочь вам выполнять свою работу быстрее и проще.

    При работе с цифровым дизайном нам приходится иметь дело только с несколькими форматами файлов. Для цифрового использования используются три основных типа файлов: .PNG, .JPG и .GIF. Существуют довольно большие различия в том, какой тип файла подходит для вашего текущего проекта, и правильный выбор может иметь огромное значение. Знание того, какой формат использовать, может сэкономить много времени и избавит вас от необходимости вносить какие-либо изменения после отправки или загрузки файла.


    .JPG

    На данный момент стандартным форматом файлов для перехода является .JPG. Однако возможности использования, в которых .JPG предпочтительнее .PNG, гораздо более ограничены. Формат .JPG лучше всего использовать в случае сложных изображений без текста. По своей природе .JPG сокращает время загрузки, выборочно удаляя элементы фотографии. Это отлично подходит для больших детализированных фотографий, которые в противном случае загружались бы очень долго. Когда это делается для изображения с элементами, которые используют острые и прямые края, пикселизация вокруг этих областей становится очень очевидной, из-за чего текст варьируется от неприятного до нечитаемого в зависимости от размера. Чтобы этого избежать, используйте формат .JPG для очень подробных изображений, не содержащих текста или другой резкой графики.

    Формат файла .PNG чаще всего используется в проектах цифрового дизайна. Формат .PNG, или Portable Network Graphics, как правило, имеет больший размер файла, чем два других формата, но он также сохраняет четкие края и может обрабатывать большое количество цветов, сохраняя при этом достаточно быстрое время загрузки для использования в Интернете. Еще одна интересная возможность заключается в том, что ее можно сохранить на прозрачной пленке.Это означает, что мы можем использовать важные элементы изображения без необходимости изменять такие вещи, как цвет фона, если мы поместили его на прозрачность. Это важная причина, по которой большинство крупных сайтов создают свой логотип в формате .PNG, поэтому его не нужно менять при каждом обновлении их сайта. Лучше всего использовать .PNG для изображений, содержащих текст, графику с четкими краями и элементы, для которых требуется прозрачный фон, например логотипы.

    Формат файла .GIF, по сути, является более быстрой загрузкой двоюродного брата .PNG с одним нюансом: изображение должно содержать ровно 256 цветов. Это ограничивает дизайнеров намного больше, чем вы думаете. Этот формат файла следует использовать только для изображений с низким разрешением. Таким образом, такие элементы, как фотографии или графика, использующие градиенты, сразу же исключаются для формата .GIF. Но такие элементы, как сплошные цветные кнопки или баннеры, идеальны, поскольку они (обычно) загружаются быстрее, чем версия .PNG, сохраняя при этом все интересные функции, такие как прозрачность и сохранение четких краев. Еще одна замечательная функция, которую могут использовать только файлы .GIF, — это анимация. Таким образом, вы можете создать графику, использующую короткую зацикленную или одиночную анимацию, которая не требует никаких подключаемых модулей, поскольку это всего лишь файл изображения.

    Вот вам краткое руководство по изображениям в цифровом дизайне. Хотите узнать больше о цифровом дизайне? Посетите наш Учебный центр, чтобы найти больше блогов, статей и руководств, которые могут помочь в разработке вашей стратегии.

    При просмотре захваченных пакетов (pcap) подозрительной активности специалистам по безопасности может потребоваться экспортировать объекты из pcap для более тщательного изучения.

    Это руководство содержит советы по экспорту различных типов объектов из pcap. В инструкциях предполагается, что вы понимаете основы сетевого трафика. Мы будем использовать эти пакеты сетевого трафика, чтобы попрактиковаться в извлечении объектов с помощью Wireshark. В инструкциях также предполагается, что вы настроили отображение столбцов Wireshark, как показано ранее в этом руководстве.

    Предупреждение. Большинство этих pcap-файлов содержат вредоносное ПО для Windows, и в этом учебном пособии мы рассмотрим эти вредоносные файлы. Поскольку эти файлы представляют собой вредоносное ПО для Windows, я рекомендую выполнять это руководство в среде, отличной от Windows, например, на хосте MacBook или Linux. Вы также можете использовать виртуальную машину (ВМ) под управлением Linux.

    Это руководство охватывает следующие области:

    Рис. 1. Фильтрация по первому pcap руководства в Wireshark.

    • smart-fax[.]com – GET /Documents/Invoice&MSO-Request.doc
    • smart-fax[.]com — GET /knr.exe

    Тем не менее, мы должны подтвердить, что эти файлы соответствуют нашим представлениям. В среде MacBook или Linux вы можете использовать окно терминала или интерфейс командной строки (CLI) для следующих команд:

    Команда file возвращает тип файла. Команда shasum вернет хэш файла, в данном случае хэш файла SHA256. На рис. 5 показано использование этих команд в CLI на хосте Linux на базе Debian.

    Рис. 5. Определение типа файла и хэша двух наших объектов, экспортированных из pcap.

    Команды и их результаты с рис. 5 перечислены ниже:

    Invoice&MSO-Request.doc: составной файл документа V2 Document, Little Endian, ОС: Windows, версия 6.3, кодовая страница: 1252, шаблон: Normal.dotm, последнее сохранение: администратор, номер версии: 2, имя создания Приложение: Microsoft Office Word, время/дата создания: Чт, 27 июня 19:24:00 2019, время/дата последнего сохранения: Чт, 27 июня 19:24:00 2019, количество страниц: 1, количество слов: 0, число символов: 1, безопасность: 0

    knr.exe: исполняемый файл PE32 (GUI) Intel 80386, для MS Windows

    $ shasum -a 256 Invoice\&MSO-Request.doc

    $ shasum -a 256 knr.exe

    Приведенная выше информация подтверждает, что подозрительный документ Word на самом деле является документом Microsoft Word. Это также подтверждает, что предполагаемый исполняемый файл Windows действительно является исполняемым файлом Windows. Мы можем проверить хэши SHA256 на VirusTotal, чтобы увидеть, обнаружены ли эти файлы как вредоносные программы. Мы также можем выполнить поиск в Google по хэшам SHA256, чтобы найти дополнительную информацию.

    Помимо исполняемых файлов Windows или других вредоносных файлов, мы также можем извлекать веб-страницы. Наш второй pcap для этого руководства, extracting-objects-from-pcap-example-02.pcap (доступен здесь), содержит данные о том, что кто-то вводит учетные данные для входа на поддельной странице входа в PayPal.

    Рис. 6. Экспорт поддельной страницы входа в PayPal из нашего второго пакета.

    Рис. 7. Экспортированная фальшивая страница входа в систему PayPal в веб-браузере.

    Экспорт объектов из SMB-трафика

    Некоторые вредоносные программы используют протокол Microsoft Server Message Block (SMB) для распространения по сети на основе Active Directory (AD). Еще в июле 2017 года банковский троянец, известный как Trickbot, добавил модуль червя, который использует эксплойт на основе EternalBlue для распространения по сети через SMB. Сегодня мы продолжаем находить признаки этого модуля червя Trickbot.

    Наш следующий pcap представляет собой заражение Trickbot, которое использовало SMB для распространения от зараженного клиента с адресом 10.6.26.110 на его контроллер домена с адресом 10.6.26.6. PCAP, извлечение-объектов-из-pcap-example-03.pcap, доступен здесь. Откройте pcap в Wireshark. Используйте путь меню Файл --> Экспорт объектов --> SMB., как показано на рис. 8.

    Рис. 8. Доступ к списку объектов экспорта SMB.

    Появится список объектов Export SMB, в котором перечислены объекты SMB, которые можно экспортировать из pcap, как показано ниже на рис. 9.

    Рис. 9. Список объектов экспорта SMB.

    Обратите внимание на две записи в середине списка с \\10.6.26.6\C$ в качестве имени хоста. Более внимательное изучение их соответствующих полей имени файла показывает, что это два исполняемых файла Windows. Подробнее см. в таблице 1 ниже.

    Таблица 1. Данные из списка объектов экспорта SMB для двух исполняемых файлов Windows.

    В столбце «Тип контента» нам нужно [100,00%], чтобы экспортировать правильную копию этих файлов. Любое число меньше 100% указывает на то, что в сетевом трафике произошла некоторая потеря данных, что привело к повреждению или неполной копии файла. Эти связанные с Trickbot файлы из pcap имеют хэши файлов SHA256, как показано в таблице 2.

    Номер пакета Имя хоста Тип содержимого Размер Имя файла
    7058 \\10.6.26.6\C$ ФАЙЛ (712704/712704) W [100,0%] 712 КБ \WINDOWS\d0p2nc6ka3f_fixhohlycj4ovqfcy_smchzo_ub83urjpphrwahjwhv_o5c0fvf6.exe
    7936 \\10.6.26.6\C$ ФАЙЛ (115712/115712) W [100.0%] 115 КБ \WINDOWS\oiku9bu68cxqenfmcsos2aek6t07_guuisgxhllixv8dx2eemqddnhyh46l8n_di.exe
    хэш SHA256 Размер файла
    59896ae5f3edcb999243c7bfdc0b17eb7fe28f3a66259d797386ea470c010040 712 КБ
    cf99990bee6c378cbf56239b3cc88276eec348d82740f84e9d5c343751f82560 115 КБ

    Таблица 2. Хэши файлов SHA256 для исполняемых файлов Windows.

    Экспорт писем из SMTP-трафика

    Некоторые типы вредоносных программ предназначены для превращения зараженного хоста Windows в спам-бота. Эти спам-боты рассылают сотни спам-сообщений или вредоносных писем каждую минуту. В некоторых случаях сообщения отправляются с использованием незашифрованного SMTP, и мы можем экспортировать эти сообщения из пакета зараженного трафика.

    Один из таких примеров взят из нашего следующего pcap, extracting-objects-from-pcap-example-04.pcap (доступен здесь). В этом пакете зараженный Windows-клиент рассылает сексторсионный спам. Откройте pcap в Wireshark, отфильтруйте smtp.data.fragment, и вы должны увидеть 50 примеров строк темы, как показано на рисунке 10. Это произошло за пять секунд сетевого трафика с одного зараженного хоста Windows. .

    Рис. 10. Фильтрация отправителей электронной почты и строк темы в Wireshark.

    Вы можете экспортировать эти сообщения, используя путь меню Файл --> Экспортировать объекты --> IMF., как показано на рис. 11. IMF означает формат интернет-сообщений, который сохраняется как имя с расширение файла .eml.

    Рис. 11. Экспорт электронных писем из pcap в Wireshark.

    Все спам-сообщения сексторции перечислены с расширением файла .eml в списке объектов IMF, как показано на рисунке 12.

    Рис. 12. Список спам-сообщений в списке объектов IMF.

    После экспорта эти файлы .eml можно просмотреть с помощью почтового клиента, например Thunderbird, или в текстовом редакторе, как показано на рис. 13.

    Рисунок 13. Использование текстового редактора для просмотра файла .eml, экспортированного из pcap.

    Экспорт файлов из FTP-трафика

    Некоторые семейства вредоносных программ используют FTP при заражении вредоносными программами. Наш следующий pcap содержит исполняемые файлы вредоносных программ, извлеченные с FTP-сервера, а затем информацию с зараженного хоста Windows, отправленную обратно на тот же FTP-сервер.

    Рис. 14. Фильтрация FTP-запросов в Wireshark.

    Теперь, когда у нас есть представление о файлах, которые были получены и отправлены, мы можем просмотреть трафик из канала передачи данных FTP, используя фильтр для ftp-data, как показано на рис. 15.

    Рис. 15. Фильтрация трафика данных FTP в Wireshark.

    Мы не можем использовать функцию Экспорт объектов в Wireshark для экспорта этих объектов. Однако мы можем следить за потоком TCP из каналов данных для каждого из них. Щелкните левой кнопкой мыши любую из строк, оканчивающихся на (SIZE q.exe), чтобы выбрать один из сегментов TCP. Затем щелкните правой кнопкой мыши, чтобы вызвать меню, и выберите путь меню для Follow --> TCP stream, как показано на рисунке 16.

    Рис. 16. Отслеживание потока TCP канала данных FTP для q.exe.

    Это вызовет поток TCP для q.exe по каналу данных FTP. В нижней части окна находится меню в виде кнопки с надписью «Показать и сохранить данные как», в котором по умолчанию используется кодировка ASCII, как показано на рис. 17. Щелкните меню и выберите «Необработанный», как показано на рис. 18.

    Рис. 17. Окно потока TCP для q.exe. Обратите внимание на меню в виде кнопки "Показать и сохранить данные как".

    Рис. 18. Выбор «Необработанные» в меню «Показать и сохранить данные как».

    Теперь в окне должны отображаться шестнадцатеричные символы вместо ASCII, как показано на рис. 19. Используйте кнопку Сохранить как в нижней части окна, чтобы сохранить его как необработанный двоичный файл, также показанный на рис. 19.

    Рис. 19. Сохранение данных из потока TCP в виде необработанного двоичного файла.

    Сохраните файл как q.exe. В Linux или аналогичной среде командной строки подтвердите, что это исполняемый файл Windows, и получите хэш SHA256, как показано ниже.

    q.exe: исполняемый файл PE32 (графический интерфейс) Intel 80386, для MS Windows

    $ shasum -a 256 q.exe

    Хэш SHA256 показывает высокий уровень обнаружения вредоносных программ на VirusTotal. Выполните тот же процесс для других файлов .exe в pcap:

    • Фильтрация по ftp-данным
    • Следуйте за потоком TCP для сегмента TCP с именем вашего файла в столбце информации
    • Измените значение параметра "Показать и сохранить данные как" на "Необработанные"
    • Используйте кнопку "Сохранить как", чтобы сохранить файл.
    • Убедитесь, что сохраненный файл действительно является исполняемым файлом Windows.

    Это должно дать вам следующие файлы, как показано ниже в таблице 3.

    хэш SHA256 Имя файла
    32e1b3732cd779af1bf7730d0ec8a7a87a084319f6a0870dc7362a15ddbd3199 e. EXE
    ca34b0926cdc3242bbfad1c4a0b42cc2750d90db9a272d92cfb6cb7034d2a3bd q.exe
    4ebd58007ee933a0a8348aee2922904a7110b7fb6a316b1c7fb2c6677e613884 г. EXE
    10ce4b79180a2ddd924fdc95951d968191af2ee3b7dfc96dd6a5714dbeae613a t.exe
    08eb941447078ef2c6ad8d91bb2f52256c09657ecd3d5344023edccf7291e9fc ш. exe

    Таблица 3. Исполняемые файлы из FTP-трафика.

    Рис. 20. То же имя файла, которое используется для отправки украденной информации обратно на FTP-сервер.

    Рис. 21. Фильтрация файлов с помощью .html в имени файла по каналу данных FTP.

    На рисунке 21 порт назначения меняется каждый раз, когда файл сохраняется (STOR) на FTP-сервере. В первый раз используется TCP-порт 52202. Во второй раз — TCP-порт 57791. В третий раз — TCP-порт 55045. В четвертый раз — 57203. В пятый раз — 61099.

    Мы используем тот же процесс, что и раньше. Вместо того, чтобы сосредотачиваться на именах файлов, сосредоточьтесь на TCP-портах. Следуйте за потоком TCP для любого из сегментов TCP, используя порт 52202. В окне потока TCP измените «Показать и сохранить данные как» на «Необработанные». Затем сохраните файл. Сделайте то же самое для файла HTML через TCP-порт 57791.

    Если вы сделаете это для всех пяти HTML-файлов, вы обнаружите, что это один и тот же файл. Эти текстовые HTML-файлы содержат данные о зараженном хосте Windows, в том числе все пароли, найденные вредоносной программой.

    Обзор

    Используя методы, описанные в этом руководстве, мы можем извлекать различные объекты из pcap с помощью Wireshark. Это может быть очень полезно, когда вам нужно изучить элементы сетевого трафика.

    Дополнительную помощь по использованию Wireshark см. в наших предыдущих руководствах:

    Получайте обновления из
    Palo Alto
    Networks!

    Подпишитесь, чтобы получать от нас последние новости, сведения о киберугрозах и результаты исследований

    Читайте также: