发现一种攻击手段

会校验图片的 magic 值吧，甚至是对图片进行二压

你以为的木马程序是什么, 程序执行不需要环境? 不需要执行权限? 假如是安卓系统, 如果你傻到下载一个陌生 apk, 然后再同意未知来源安装, 终于把 apk 安装成功运行, 再同意所有权限, 那也怪不了微信了

无厘头，如果你这能通，那我还有更简单的，我给你回复个自动预览的图片，或者微博什么的发个图片，但其实是个木马程序，那岂不是全部人都要中招了，这和你说的不就是一回事么

关键词 zero-click exploit

难以置信能问出这种问题，op 应该不是程序员吧？

那你把图片替换成木马后，如何让微信客户端从加载显示预览图变成执行你的恶意代码

这种漏洞都是重量级的

换句话说，如何让人在大街上看到一张广告牌就被催眠操纵

@sujin190 真有这种，图片漏洞导致系统提权执行了图片携带的脚本

当年 psp 破解就是用一张图片

@stinkytofu 是系统安全么

@sujin190 就不能是微信插件，不需要在 manifest 中的那种

@dear2baymax 你说是就是，不是就不是，是是你眼中的是，非是你眼中的非，我更希望是软件设计师，不懂安全领域，所以咨询下懂行的

@fantathat 你这怎么还没转过来，你以为你发个图片消息实际内容是木马对方就直接运行木马了，这么明显的漏洞你是当大家都是傻子么，如果你在两边微信都能装插件你自己就是最牛逼的木马你还发个锤子的木马

如果按上面说的图片漏洞那是不是微信都会中招，你随便打开一个网页就中招了，但微信浏览器这种体量这么大的这种漏洞几乎不存在，否则早被人发现了

1 楼说的对。文件有自己的 magic 值

偷偷换成木马程序这一步应该是一个价值 10 万美元零日漏洞

假设你成功地偷偷换成木马程序了，并且被别人的微信下载到硬盘里了，下一步呢？
谁来执行这个程序？你不会以为把木马程序弄到别人的手机电脑上，它就能立马发起攻击吧？

你还不如去研究各大图片库里的漏洞，直接在图片里藏恶意代码。
比如前不久的 libwebp 漏洞，攻击手段比什么“偷偷换成木马程序”高明多了。

还拽上哲学了 装啥逼呢

远程任意执行漏洞历史上太多了，举个两三年前现实发生过的实例吧，关键词 kindledrip ，利用 webkit 引用 jpeg xr 图片库的漏洞，打开一个网页就能取得 root ，理论上可以盗取亚马逊账号和信用卡

少补充了，kindledrip 是 kindle 阅读器的漏洞，影响面太小了，但原理跟 op 描述的是一个道理

远古时代还真有过 ico 漏洞，不过还好当时只是 DoS ，不是 remote exploit. https://www.exploit-db.com/exploits/30160

有类似的攻击手段，通过将恶意的代码（甚至是程序）保存到目标，然后通过某种方法去执行这段代码或是程序

比如 PHP 图片木马，magic 值的验证可以绕过，二压有时也不会破坏恶意的代码

微信的本地图片什么的都是经过编码的，电脑里是 .dat 格式，你的木马即使进去了，也不过是一段被改变了的文件流，没法正常跑起来

不得不说你很会起标题, 拍大腿就说有攻击手段, 逻辑上完全是不成立的

@chanChristin “哲学就是装逼吗，有逼还需要装吗”

这种确实是有的，安全新闻上见过。需要构造奇怪的图片来攻击渲染图片的解码器，使他出缓存区溢出然后执行你的恶意代码，这种洞基本爆出来就会修掉。并不是随便一个木马都能塞进去的。

这个标题......