一张看起来十分正常的可爱猫咪或美女图片，可以把恶意代码隐藏在图片像素中。当你点击这张图片时，计算机便会中招。

印度安适研究人员萨米尔·沙哈把他发明的这种隐藏恶意措施的要领称为“stegosploit”，只需看一眼被这种要领措置惩罚惩罚过的图片文件，你就会被黑失。沙哈在上周四荷兰阿姆斯特丹的黑客会议（HITB）上讲解了这项黑客技术。

“恶意措施是一门艺术。”

一般情况下，恶意软件往往会以诸如PDF、Word等办公函档作为邮件附件的形式夹带以形成流传。但沙哈使用的是“密写”（Steganography）技术，把信息隐藏在图片中，肉眼无法识别。

密写经常被恐怖分子用来在图片和视频文件中奥秘的传送信息，美国当局的特工被迫不雅观看大量的色情图片和视频以期望能从中找到奥秘信息。沙哈则把这种观点运用到了黑客技术上。他把代码“写”进图片像素，然后通过HTML5的可递交脚本的动态Canvas元素还原。沙哈将这一过程称为“密汁”。

“我无需成立网站，甚至不需要注册域名。我只需把一张图片上传到网上，然后把地点报告你。当你在浏览器中检察这张图片时，恶意措施就会被触发。”

恶意代码是图片代码与Java脚本的混合，沙哈称之为“IMAJS”，可藏进JPG或PNG格局的图片文件中。除非浏览者把图片放大仔细检察，否则无法无现这是一张“有问题”的图片。

这张图片可以黑失你的计算机

下面第一个视频中，沙哈演示了如何一步一步把恶意代码写进图片：

图片一旦被点击，CPU的使用率便会上升到100%，意味着恶意措施开始运行。它可以把受害者计算机上的数据发送给打击者，还能够在受害者的计算机上成立一个文本文件，此中写着“你被黑了！”。

图像文件已不能再被“信任”，下次点击它的时候，三思而后行。

恶意措施还可以设计更多的成果，如下载和安置间谍软件。沙哈暗示，他用了几乎5年的业余时间来研究这项技术。目前他还未在图片分享网站上测试这项技术，但他认可这种要领并不在任何情况下都适用。