|
И снова о HLLP
|
|
| Slash | Дата: Вторник, 23.07.2013, 00:38 | Сообщение # 1 |
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| С заражение с записью в начало нет, в запись в конец тоже, НО тело вируса то запускаться не будет,вопрос таков: как вставить в жертву ассемблерную jmp команду которая будет переходить на тело вируса?
|
| |
| |
| dolphin | Дата: Вторник, 23.07.2013, 09:19 | Сообщение # 2 |
Администратор
Сообщений: 906
Статус: Offline
| Только джампом тут дело не обойдётся, нужно править заголовок (точнее значения в нём), секцию расширять или добавлять новую, реализовано c@t'ом тут, сам подобного не писал, так что помочь кодом вряд ли смогу.
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Anton93 | Дата: Вторник, 23.07.2013, 11:22 | Сообщение # 3 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| ну почему только jmp? еще с помощью call можно))
реализация c@t'a работает только на ос с 32 битным ядром.
 ICQ: 41896
|
| |
| |
| Slash | Дата: Вторник, 23.07.2013, 13:34 | Сообщение # 4 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Neshta пишет себя в начало но почему то файл не теряет ресурс с иконкой, как решить проблему???? все способы что нашел уже перепробовал!
|
| |
| |
| Anton93 | Дата: Вторник, 23.07.2013, 14:21 | Сообщение # 5 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Slash, вытаскиваем иконку из заражаемого файла и делаем замен ресурса в своем теле.
даже готовый юнит есть такой. точно видел
ICQ: 41896
|
| |
| |
| Slash | Дата: Вторник, 23.07.2013, 14:45 | Сообщение # 6 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (Anton93) Slash, вытаскиваем иконку из заражаемого файла и делаем замен ресурса в своем теле.
даже готовый юнит есть такой. точно видел
Ресурса с иконкой в теле самого вируса вообще нет.
А если ставить иконку зараженному файлу - становится не работоспособен.
|
| |
| |
| Slash | Дата: Вторник, 23.07.2013, 15:13 | Сообщение # 7 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Вот зараженный файл, отблагодарю пятью + если дадите исходник который поставит сюда иконку не нарушив работоспособность.
P.S. Пароль от архива:2319
|
| |
| |
| Anton93 | Дата: Вторник, 23.07.2013, 15:13 | Сообщение # 8 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Slash, Цитата Ресурса с иконкой в теле самого вируса вообще нет.
этот юнит сам создаст место для иконки. он для этого и был придуман.
ICQ: 41896
|
| |
| |
| Slash | Дата: Вторник, 23.07.2013, 15:16 | Сообщение # 9 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (Anton93) этот юнит сам создаст место для иконки. он для этого и был придуман.
Отлично! А где его взять то?
|
| |
| |
| Anton93 | Дата: Вторник, 23.07.2013, 15:19 | Сообщение # 10 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Slash, да на просторах сети находил в свое время.
позже пороюсь. если найду - выложу сюда
ICQ: 41896
|
| |
| |
| Slash | Дата: Вторник, 23.07.2013, 15:22 | Сообщение # 11 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (Anton93) Slash, да на просторах сети находил в свое время.
позже пороюсь. если найду - выложу сюда
Спасибо.
|
| |
| |
| dolphin | Дата: Вторник, 23.07.2013, 16:34 | Сообщение # 12 |
|
Администратор
Сообщений: 906
Статус: Offline
| Есть 2 примера работы с иконкой
http://delfcode.ru/load....1-0-528
http://delfcode.ru/load....1-0-463
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Slash | Дата: Вторник, 23.07.2013, 17:10 | Сообщение # 13 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (dolphin) Есть 2 примера работы с иконкой
Оба испробовал, файл после этого не работоспособен.
|
| |
| |
| dolphin | Дата: Вторник, 23.07.2013, 17:23 | Сообщение # 14 |
|
Администратор
Сообщений: 906
Статус: Offline
| Посмотрел я твой файл, там вообще нет иконки, изначально она должна быть чтобы можно было её заменить. Из за того что секции в ресурсах под иконку нет может быть ошибка.
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Slash | Дата: Вторник, 23.07.2013, 17:34 | Сообщение # 15 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (dolphin) Посмотрел я твой файл, там вообще нет иконки, изначально она должна быть чтобы можно было её заменить. Из за того что секции в ресурсах под иконку нет может быть ошибка.
Ок, попробуем.
|
| |
| |
| Slash | Дата: Вторник, 23.07.2013, 18:44 | Сообщение # 16 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (dolphin) Посмотрел я твой файл, там вообще нет иконки, изначально она должна быть чтобы можно было её заменить. Из за того что секции в ресурсах под иконку нет может быть ошибка.
Тоже самое,вот зараженный файл,пытаюсь поменять иконку - файл неработоспособен.
|
| |
| |
| dolphin | Дата: Среда, 24.07.2013, 08:36 | Сообщение # 17 |
|
Администратор
Сообщений: 906
Статус: Offline
| А что там не работает? Форма открывается, куча копий запускается. Ты бы лучше сам проект скинул а не ехе, так проще разбираться. Я же не вижу чего ты там в коде наворотил 
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Slash | Дата: Среда, 24.07.2013, 16:58 | Сообщение # 18 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (dolphin) А что там не работает? Форма открывается, куча копий запускается. Ты бы лучше сам проект скинул а не ехе, так проще разбираться. Я же не вижу чего ты там в коде наворотил
Что-то кучи копий быть не должно,вот исходник БЕЗ ФОРМЫ! Если не трудно - дополните пару строк.  Добавлено (24.07.2013, 16:58)
---------------------------------------------
Цитата (dolphin) А что там не работает? Форма открывается, куча копий запускается. Ты бы лучше сам проект скинул а не ехе, так проще разбираться. Я же не вижу чего ты там в коде наворотил
Так иконку то я не менял.
Сообщение отредактировал Slash - Среда, 24.07.2013, 14:45 |
| |
| |
| dolphin | Дата: Среда, 24.07.2013, 20:54 | Сообщение # 19 |
|
Администратор
Сообщений: 906
Статус: Offline
| Переписал, добавил пару функций и откоментил немного, должно работать, не проверял.
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Slash | Дата: Среда, 24.07.2013, 21:38 | Сообщение # 20 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (dolphin) Переписал, добавил пару функций и откоментил немного, должно работать, не проверял.
Все сделано аккуратно,спасибо,но:
1)С иконками та же проблема, что не мудрено;
2)После запуска зараженного файла жертва не запускается.
Это исправим, в остальном спасибо, хоть это и не решило проблему но все равно держите +++!
|
| |
| |
| dolphin | Дата: Среда, 24.07.2013, 22:04 | Сообщение # 21 |
|
Администратор
Сообщений: 906
Статус: Offline
| Цитата (Slash) 2)После запуска зараженного файла жертва не запускается.
Брал из твоего кода вроде бы, плюс писал не проверяя, там думаю не трудно исправить, примеров полно.
Цитата (Slash) 1)С иконками та же проблема, что не мудрено;
Константу размера вируса придётся где-то запоминать чтобы всё было работоспособно после смены иконки.
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Slash | Дата: Среда, 24.07.2013, 22:06 | Сообщение # 22 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (dolphin) Брал из твоего кода вроде бы, плюс писал не проверяя, там думаю не трудно исправить, примеров полно.
Цитата (Slash)
Уже исправил, InRun нужно было как в оригинале вам оставить, т.е. после FindClose.
Цитата (dolphin) Константу размера вируса придётся где-то запоминать чтобы всё было работоспособно после смены иконки.
А почему нужно именно по размеру проверять? Можно ведь по той же сигнатуре.
Сообщение отредактировал Slash - Среда, 24.07.2013, 22:11 |
| |
| |
| dolphin | Дата: Среда, 24.07.2013, 22:15 | Сообщение # 23 |
|
Администратор
Сообщений: 906
Статус: Offline
| Цитата (Slash) А почему нужно именно по размеру проверят? Можно ведь по той же сигнатуре.
В моём понимании ты просто не запустишь первый раз программу в чистом виде и размер её кода изменится, вот как ты узнаешь сколько байт переносить из начала? Сейчас оно в теле программы записано а потом оно изменится после смены иконки. Может ты конечно новый алгоритм придумаешь без константы, тогда всё будет работать.
Цитата (Slash) Уже исправил, InRun нужно было как в оригинале вам оставить, т.е. после FindClose.
Да нет, не в этом дело там я не правильно прописал какие параметры CopyData принимает чтобы записать во временный начало байты из конца, потом остальные.
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| dolphin | Дата: Среда, 24.07.2013, 22:19 | Сообщение # 24 |
|
Администратор
Сообщений: 906
Статус: Offline
| Да там вообще все заражение неправильное, я что то даже не обратил внимание
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Slash | Дата: Среда, 24.07.2013, 22:31 | Сообщение # 25 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата (dolphin) Да там вообще все заражение неправильное, я что то даже не обратил внимание
Однако все работоспособно. 
И я тут еще кое что подправил:теперь после того как мы вырубаем жертву - ее тмп'шка удаляется.Добавлено (24.07.2013, 22:31)
---------------------------------------------
Цитата (dolphin) Да нет, не в этом дело там я не правильно прописал какие параметры CopyData принимает чтобы записать во временный начало байты из конца, потом остальные.
Все ты правильно прописал там.
|
| |
| |
