檔案
ANI格式:
1,從(0000-006D)是Wnd0WS95&NTANI檔案的文字說明區部分
如想對開發的ANI檔案提供一點文字說明,並加入著作權信息,且同時它們又要被ANI檔案播放軟體承認時,這是唯一的選擇。要是沒什麼好寫時,可以去掉本塊中的全部內容,並將塊的大小置為0。切記,“塊識別碼‘ACONLIST’”和標識“塊的大小”這兩部分,總計12位元組,絕對不能被更改、移動及刪除,否則後果自負。
可能為了讓文字說明信息系統化,在ACONLIST塊內部包容了若干子塊,本例中用到的兩個分別是:INFOINAM塊(提供本檔案的解釋說明)和IART塊(用於插入版本信息)。可以運用在AVI檔案中插入自定義塊的方法,加入自己的自定義塊,其結果只是ANI播放軟體把它當作一個“JUNK”罷了。
0000-0003:多媒體檔案識別碼:RIFF
0004-0007:檔案大小(2052h位元組)-8位元組
0008-000F:ACONLIST塊識別碼,它是文字說明區開始的標誌
0010-0013:ACONLIST塊的大小(5Ah位元組)
0014-001B:INFOINAM塊識別碼,標誌檔案說明信息子塊的開始
001C-001F:INFOINAM塊的大小(20h位元組)0020-003F:檔案說明信息子塊的內容“ApplicationstartingHourGlass”
0040-0043:IART塊識別碼,標誌著作權說明信息於決的開始
0044-0047:IART塊的大小(26h位元組)
0048-006D:著作權說明信息於塊的內容“MicrosoftCorporation,Copyright1995”
2,從(006E-0099)是WindoWs95&NTANI檔案的信息區部分
前面已見識過AVI檔案的信息區部分。只有兩條數據流(一條圖像,一條聲音),且檔案已足夠的小了(就1MB左右)。不過ANI檔案的信息區就不會有它那么”恐怖”了,只發現了由“anih”作識別碼,且信息區長度恆定為24h,36位元組的唯一一種信息區,且結構與AVI檔案的信息區有幾分相似。
006E-0071:anih識別碼,它是信息區開始的標誌
0072-0075:anih塊的大小(24位元組)
0076-0079:可能是標誌,不知怎么修改它,還是不改為好
007A-007D:本檔案中包含的游標幀數。ANI檔案在播放時所形成的動畫效果,其實就是一張張的游標或圖示圖像按一定的順序,繪製到螢幕上,並保留指定的時間(見“時間控制區”說明),這和AVI檔案的幀播放原理是一樣的。本檔案共有10幀用像。
007B-0081:定義從第一幀游標圖像開始,播放到第幾幀游標圖像後重新開始。在一般情況下,AVI檔案都要求播放軟體播完全部圖像後再重新開始(除非有一些其它的小企圖,只需要播放開始的一部分幀圖像)。就象本例定義為AH,即在播完全部的10幀圖像後,再重新從第一幀圖像開始播放0082-0091:未知,簡單更改後對檔案播放無影響
0092-0095:未知,可能是此檔案在播放前需預讀其中的多少幀圖像作初始化
0096-0099:未知,可能是此檔案中包含的數據流個數
3,從(009A-00C9)是Windows95&NTANI檔案的時間控制區部分
前面曾提到關於ANI檔案播放,它是將每幀的游標或圖示圖像接一定的順序,繪製到螢幕上,並保留指定的時間,從而達到動畫效果。而它對每幀圖像這一保留時間的控制。其實是一個煩瑣的過程。它需要分別對每幀圖像定一個時間,以一個長整數的形式表示,,並按游標或圖示圖像播放的順序存放在本區域內。
ANI檔案009A-009D;rate識別碼,它是時間控制區開始的標誌
009E-00A1:rate塊的大小(28h位元組)
00A2-00A5:它對應第一幀圖像顯示後在螢幕上保留的時間
00A6-00A9:它對應第二幀圖像顯示後在螢幕上保留的時間
00C6-00C9:它對應第十幀圖像顯示後在螢幕上保留的時間
4,從(00CA-2051)是Wind0WS95&NTAsq檔案的數據區部分
ANI檔案的數據區,以“塊”形式存放著全部圖像的數據,即它包含了一個framicon子塊和多個icon子塊,它的形式很象AVI檔案的數據塊。framicon子塊用於定義本檔案的主要幀,也就是我們在windows95&NT的檔案管理器中見到的那張圖像,到目前為止,見到的framicon子塊都被作為動畫游標的第一幀,而放在數據區的第一個子塊的位置上;icon子塊則用於定義本檔案的其它圖像幀。
00CA-00CD:LIST識別碼,它是數據區開始的標誌
00CE-00DI:LIST塊的大小(1F80h位元組)
00D2-00D99:framicon識別碼,數據區中第一個子塊的開始
00DA-00DD:framicon子塊的大小
動態游標
ANI格式動態游標製作動態游標(ANImationicons)。WINDOWS的一種檔案格式(*.ani),通常在%systemroot%\cursors\下。用於WINDOWS2000後的作業系統。在VISTA中自帶的AERO忙碌游標是ANI格式。
ANI獲取方法
1、自己製作
Microangelo是一套功能強大的圖示相關編輯軟體。使用它可以創建或編輯圖示(.ico)、靜態指針(.cur)、動畫指針(.ani)以及圖示庫(.icl)檔案,編輯功能十分強大且很容易上手。該軟體還有一個功能就是可以直接修改可執行程式中的圖示(請注意圖像格式一定要匹配)。除上述外,還可以使用附帶的microangeloOnDisplay修改系統中的各種圖示,使你的系統更漂亮,更具個性化。
2、手動查找
在訪問某些網頁時,會發現滑鼠有了另外的滑鼠效果。方法:
(1)訪問該網站。
(2)打開“工具”“INTERNET選項”“瀏覽歷史記錄(IE7)”“查看檔案”,在資料夾中查找ANI檔案
ANI使用
打開“控制臺”,在“經典模式”下(對於XP/VISTA)選擇“滑鼠”項目,再選擇“指針”選項卡,在列表中選擇合適的項目,瀏覽ANI檔案位置,最後“確定”退出。
蠕蟲
蠕蟲病毒根據毒監測網的監測,被截獲的“ANI蠕蟲”在短短24小時內接連出現5個變種,在網際網路上迅速擴散。這些“ANI蠕蟲”的變種同樣利用才剛出現的Vista、XP等作業系統的ANI高危漏洞。
在“ANI蠕蟲”病毒的第一個變種中,病毒作者加入了“IHateAVP!(我恨AVP)”的字樣。隨後的變種病毒中又加入了辱罵瑞星公司的文字,並且試圖和防毒公司對話。在“ANI蠕蟲”的多個變種中,作者寫下了這樣的信息:“HelloRuiXingankapersky!Idon'twanttodestroyanycomputers,Idon'tdestroyanydocuments,Idon'tinfectsystemfiles.Don'tKillme!!xV4(你好,瑞星和卡巴斯基!我不想破壞任何電腦、任何文檔和感染系統檔案。不要殺我!!)”。
反病毒專家稱,該病毒並不是以破壞用戶計算機為目的而編寫,因此用戶感染該病毒後幾乎無法察覺。但該病毒會從網上下載多種木馬、後門病毒,使得用戶遊戲等賬號被盜,或者電腦變成被黑客控制的“肉雞”,危害比單純破壞用戶計算機的病毒更大。
漏洞
檢測到的ANI病毒該漏洞的利用程式通常偽裝成一個圖片,只要點擊了帶有惡意代碼圖片的網站或郵件就會被感染上惡意程式,無論是IE6或IE7或者是FireFox\Opera等非IE瀏覽器。無論是WindowsNT\2000\XP\2003\Vista作業系統,都有被感染的可能其他網路套用軟體如QQ、MSN、各種郵件軟體、RSS軟體等也可能受到該漏洞的影響。
由於該漏洞的多個版本的利用程式使用了很多技巧,因此會繞過絕大多數防毒軟體、防漏洞軟體以及主動防禦軟體使其失效。這樣對用戶機器產生極大危害。
一旦沒有補丁的機器打開了包含惡意代碼的網站或郵件,病毒或惡意程式就會立即悄悄在後台運行,在沒有任何反應的情況下使用戶的機器中上盜號木馬、惡意廣告軟體、蠕蟲病毒等等。
受影響系統
===========================
MicrosoftWindowsVista所有版本
MicrosoftWindowsXP所有版本
MicrosoftWindowsServer2003SP1
MicrosoftWindowsServer2003
MicrosoftWindows2000所有版本
============================
MicrosoftWindows是微軟發布的非常流行的作業系統。
MicrosoftWindows在處理畸形的動畫圖示檔案(.ani)時存在緩衝區溢出漏洞,遠程攻擊者可能利用此漏洞控制用戶機器MicrosoftWindows在處理畸形檔案(.ani)時沒有正確地驗證ANI頭中所指定的大小,導致棧溢出漏洞如果用戶受騙使用IE訪問了惡意站點或打開了惡意的郵件訊息的話,就會觸發這個溢出,導致執行任意代碼。
請注意Windows資源管理器也會處理一些檔案擴展名的ANI檔案,如.ani、.cur、.ico等。
木馬程式
木馬程式一款通過微軟系統的“ANI滑鼠指針”漏洞瘋狂傳播的木馬程式,此木馬程式主要以遊戲盜號為目的,通過漏洞批量下載時下所有熱門遊戲的盜號木馬。有特點的是,此款木馬程式會通過web站點、區域網路、隨身碟等多種渠道同時進行傳播,擴散速度很快。
此木馬程式的初始形式通常偽裝成圖片連結,只要點擊了帶有惡意代碼圖片的網站或郵件,就會被感染上木馬程式。木馬程式下載到用戶本機後,使用arp欺騙的方式進行攻擊,讓整個區域網路遭受感染,並且還能通過插入中毒機器的隨身碟感染後繼續擴散。相比較於以往木馬程式的單一傳播方式,此次發現的木馬程式更加先進了,它的傳播形式幾乎囊括了web網、區域網路以及離線傳播的各種方式。
一旦用戶的電腦中被植入了木馬程式,此木馬會通過後台下載21個盜號木馬,“ANI滑鼠指針”漏洞已經被大量的惡意軟體作者和木馬作者利用,感染了數百萬用戶。網民儘快使用安全軟體檢查自己的電腦,養成隨時更新系統漏洞補丁的良好習慣。
