文章总结： 网络安全研究人员发现通过构造格式错误的ZIP文件可绕过防病毒软件和EDR检测，漏洞编号CVE-2026-0866。攻击者篡改压缩方法字段致扫描引擎解压失败从而放过恶意载荷，普通解压工具仅报错损坏。Cisco已确认受影响，多家知名厂商状态未知。建议安全厂商更新引擎验证元数据一致性，用户保持软件更新并警惕不明来源压缩包。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,免杀,终端安全

绕过防病毒软件和EDR的高招来了：格式错误的压缩文件

原创

网空闲话 网空闲话

网空闲话plus

2026年3月11日 07:04 北京

网络安全研究人员近日揭露了一种新型攻击手法——通过构造格式错误的ZIP压缩文件，恶意攻击者可以成功规避防病毒软件（AV）和端点检测与响应系统（EDR）的扫描引擎。该漏洞被正式收录为 VU#976247 并分配编号 CVE-2026-0866，美国CERT协调中心（CERT/CC）已于当地时间2026年3月9日发布安全警告，多家安全厂商可能受其影响。

一、攻击手法揭秘：篡改压缩方法字段

ZIP文件格式包含一系列元数据，例如压缩方法、版本信息、文件标志等，这些数据位于文件头部，用于告知处理程序如何解压和读取内容。防病毒软件和EDR产品在扫描压缩文件时，通常完全信任这些声明信息，并依据它们对压缩档进行预处理和内容提取。一旦攻击者修改了“压缩方法”字段，将其设置为与实际压缩数据不符的值，安全工具的扫描引擎便会因无法正确解压而失效，从而无法触及内部隐藏的恶意负载。此时，即便文件本身包含病毒代码，安全软件也可能将其标记为“已损坏”并放过，产生假阴性。

二、为何普通用户无法察觉？

值得注意的是，常见的解压工具——如 7‑Zip、unzip、bsdtar以及Python的 zipfile模块——同样依赖元数据进行解压操作。当它们遇到格式错误的头部时，会尝试按声明的方法解压，但最终因CRC校验失败或“不支持的压缩方法”而报错，无法提取出内部数据。因此，普通用户在收到此类文件后，会误以为它只是一个普通的损坏压缩包，从而降低警惕，不会怀疑其中隐藏着恶意代码。

三、攻击者如何激活隐藏载荷？

为了绕过这一限制，攻击者必须使用自定义的恶意加载器。这类加载器在设计时完全忽略被篡改的压缩方法字段，直接按照原始算法从文件中提取并解压嵌入的数据。由于加载器独立于系统标准解压流程，它能够在完全避开AV/EDR监控的情况下，程序化地恢复和执行隐藏的恶意代码。这意味着，只要受害者运行了该自定义加载器（可能伪装成正常程序），即使系统安全软件未检测到压缩包本身，攻击依然能够成功。

四、历史渊源与当前受影响范围

这种利用畸形归档文件规避检测的技术并非首次出现。CERT/CC指出，本次漏洞与 CVE-2004-0935及VU#968818 高度相似，属于一种已知攻击手法的变种。根据CERT/CC于2026年3月9日发布的供应商状态列表，Cisco已被明确标记为“受影响”，而包括Avast、Bitdefender、Avira、AVG、Baidu、ESET、McAfee、Microsoft、Symantec、Trend Micro在内的众多知名厂商目前均处于 “未知”状态。需要注意的是，“未知”并不代表免疫，仅表示尚未收到确认信息或尚未完成测试。用户应主动联系自身使用的安全产品供应商，核实是否受到该漏洞影响。

五、缓解与修复建议

要有效防御此类攻击，需要安全厂商与终端用户协同行动：

1. 安全厂商层面：应立即更新扫描引擎，不再单纯依赖ZIP头声明的元数据。引入更激进的检测模式，通过验证压缩方法字段与实际数据特征的一致性，主动识别元数据篡改行为。对发现不一致的文件，应标记为可疑并送入深度启发式分析或沙箱环境进一步检测。
2. 用户层面：保持防病毒软件和操作系统最新，关注厂商安全公告，及时应用补丁。对来源不明或意外收到的ZIP压缩包保持高度警惕，即使工具报告文件损坏，也不应轻易信任。组织应与其安全供应商沟通，确认现有防护版本是否易受攻击，并获取针对性的缓解配置。

这一漏洞再次提醒我们，安全工具的信任基点是攻击者的首要目标。只有不断迭代检测逻辑，采用多维验证手段，才能应对层出不穷的规避技术。

参考资源

1、https://gbhackers.com/malformed-zip-evade-antivirus-and-edr-tools/

2、https://kb.cert.org/vuls/id/976247

3、https://cyberpress.org/malformed-zip-files/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《绕过防病毒软件和EDR的高招来了：格式错误的压缩文件》