文章总结： 文档介绍了一种名为ZombieZIP的ZIP格式混淆技术，通过声明压缩方法为存储但实际使用DEFLATE压缩载荷，成功绕过98%的杀毒引擎检测。该技术利用防病毒软件信任文件头声明的盲点扫描压缩噪声从而无法识别恶意特征。攻击者利用自定义加载器恢复载荷，属于分阶段交付的走私技术。文中提供了CVE编号、PoC脚本及详细攻击向量分析。 综合评分： 90 文章分类： 漏洞分析,恶意软件,渗透测试

格式错误的 ZIP 存档通过声明 Method=0（存储）来逃避防病毒检测，同时包含 DEFLATE 压缩的有效载荷

Ots安全

2026年3月13日 13:41 广东

威胁简报

恶意软件

漏洞攻击

ZIP格式混淆技术，可绕过98%的杀毒引擎。

CVE-2026-0866 | VU#976247 | 发布日期：2026年3月10日

该技术

创建一个 ZIP 文件，内容如下：

Compression Method = 0 (STORED)Actual data = DEFLATE compressedCRC-32 = Checksum of uncompressed payload

AV Engine:  Reads Method 0 → Scans compressed noise → No detectionAttacker:   Ignores Method field → Decompresses as DEFLATE → Recovers payload

结果

| File | Technique | VirusTotal | | — | — | — | | baseline.zip | Valid ZIP | 55/67 | | method_mismatch.zip | Zombie ZIP | 1/66 |

98% 的规避率。相同的有效载荷。相同的字节数。不同的容器

快速测试

# Generate a Zombie ZIPpython3 zombie_zip.py
# Upload method_mismatch.zip to VirusTotal# Observe 1/51 detection vs 55/67 for baseline
# Recover payload programmaticallypython3 loader_poc.py method_mismatch.zip# Outputs byte-identical EICAR (SHA-256: 275a021b...)

文件

zombie_zip.py – 生成器脚本；method_mismatch.zip – 预生成的 PoC，包含 EICAR 基线；baseline.zip – 用于比较的有效 ZIP 文件；loader_poc.py – 演示程序化有效载荷恢复

工作原理

反病毒引擎信任 ZIP 文件中的 Method 字段。当 Method=0（存储）时，它们会将数据作为原始未压缩字节进行扫描。但实际上，数据经过了 DEFLATE 压缩——因此扫描器看到的是压缩噪声，无法找到任何特征码。

CRC 设置为未压缩有效载荷的校验和，造成额外的错误匹配，导致标准提取工具（7-Zip、unzip、WinRAR）报告错误或提取损坏的输出。

然而，一个专门编写的加载器会忽略声明的方法，并以 DEFLATE 格式解压缩，从而完美地恢复有效载荷。loader_poc.py 文件就证明了这一点——它由六行标准的 zlib 代码构成。

该漏洞在于扫描器规避：安全控制措施断言“未发现恶意软件”，而实际上恶意软件存在，攻击者可以使用工具轻松恢复恶意软件。

攻击向量

这不是终端用户提取漏洞，而是一种分阶段交付/走私技术：

1. 恶意载荷被打包在僵尸 ZIP 中
2. ZIP 传输安全边界（电子邮件网关、网络扫描器、终端防病毒软件）
3. 扫描仪读取方法=0，扫描压缩噪声，报告“干净”
4. 加载器或投放器通过编程方式解压缩有效载荷。
5. 有效载荷实现并执行

这与已知的恶意软件传播模式（ISO 走私、HTML 走私、CAB 滥用）一致，攻击者使用自定义加载器而不是消费者提取工具。

现有技术

• VU#968818 (CERT/CC, 2004): 格式错误的 ZIP 压缩文件可绕过杀毒软件检测
• CVE-2004-0935：利用畸形 ZIP 文件头绕过 ESET 防病毒软件
• 该技术展示了同一漏洞类别中的一种新原语（方法字段不同步）。

项目地址：

https://github.com/bombadil-systems/zombie-zip

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《格式错误的 ZIP 存档通过声明 Method=0（存储）来逃避防病毒检测，同时包含 DEFLATE 压缩的有效载荷》