Четверг, 28.03.2024, 20:50 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 2
  • 1
  • 2
  • »
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx  
delphicode » Delphi » Вирусология Delphi » заражение ехе (простой способ заражение ехе)
заражение ехе
C@TДата: Пятница, 30.07.2010, 20:52 | Сообщение # 1
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Доступно только для пользователей
Прикрепления: PE_infector_DEM.rar (205.4 Kb)




Сообщение отредактировал C@T - Суббота, 31.07.2010, 10:51
 
dolphinДата: Пятница, 30.07.2010, 23:04 | Сообщение # 2
Администратор
Сообщений: 906
Статус: Offline
Модуль забыл добавить

Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
C@TДата: Воскресенье, 01.08.2010, 21:19 | Сообщение # 3
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
вот мой модуль )))
Прикрепления: PE_infector_Uni.rar (6.5 Kb)


 
dolphinДата: Воскресенье, 01.08.2010, 21:51 | Сообщение # 4
Администратор
Сообщений: 906
Статус: Offline
Ещё разобраться бы в этом коде

Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
C@TДата: Понедельник, 02.08.2010, 20:12 | Сообщение # 5
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
могу все объяснить 603702296

 
SlashДата: Понедельник, 20.05.2013, 07:59 | Сообщение # 6
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
Отличный метод!Вот только та же проблема что и у меня,файл не работоспособен после заражения!
 
C@TДата: Среда, 17.07.2013, 18:46 | Сообщение # 7
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
вот, нарыл у себя на компе исходник шелл кода на асме(использовал TASM), с очень подробными коментариями, может интересно будет smile
Прикрепления: 2380204.asm (15.7 Kb)


 
Anton93Дата: Среда, 17.07.2013, 19:44 | Сообщение # 8
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
после заражения тоже не смог запустить файл.
C@T, в чем может быть дело? не у меня одного такая трабла


ICQ: 41896
 
C@TДата: Среда, 17.07.2013, 19:52 | Сообщение # 9
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
Цитата (Anton93)
после заражения тоже не смог запустить файл.
C@T, в чем может быть дело? не у меня одного такая трабла

не знаю, дебажить нужно smile


 
dolphinДата: Четверг, 18.07.2013, 08:45 | Сообщение # 10
Администратор
Сообщений: 906
Статус: Offline
Не у одного, у меня на 64 битке тоже отказалось работать, скорее всего проблема либо в этом либо в самой семёрке, потому что на ХР работает.

Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
VolfДата: Суббота, 03.08.2013, 19:19 | Сообщение # 11
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
Проблема в том что этот код будет работать только на XP,так как кернел по другому адресу располагается.
 
StertorДата: Суббота, 01.03.2014, 18:04 | Сообщение # 12
Группа: Удаленные



Прошу прощенья за оффтоп. А каким образом можно реализовать заражение, так, как это делает нешта?
Этот вирус рисует у себя на канве главную иконку заражаемого файла, скидывает файл себе в оверлей и помещает иконку с канвы себе в mainicon.
вопрос в том, как можно корректно, с сохранением качества перерисовать иконку, без использования модуля graphics? Вес срисовываемой иконки не должен меняться, потому, что это вызовет сбой в алгоритме заражения вируса.
 
xXxSh@dowxXxДата: Воскресенье, 02.03.2014, 12:01 | Сообщение # 13
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата Stertor ()
вопрос в том, как можно корректно, с сохранением качества перерисовать иконку, без использования модуля graphics?

без модуля graphics даже не знаю как это можно было бы реализовать, если только использовать какой то сторонний модуль, или написать его самому.
а с модулем можно корректно забирать себе иконки чужих .exe файлов, а вот с файлами других расширений выходит кое какой касяк, в данный момент работаю над этим.
 
StertorДата: Воскресенье, 02.03.2014, 20:57 | Сообщение # 14
Группа: Удаленные



есть модуль acworkres.

Сообщение отредактировал Stertor - Понедельник, 03.03.2014, 18:02
 
Anton93Дата: Понедельник, 10.03.2014, 17:06 | Сообщение # 15
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Stertor, на сколько я помню он то же самое, что апишные функции для работы с ресурсами.

ICQ: 41896
 
StertorДата: Вторник, 11.03.2014, 16:59 | Сообщение # 16
Группа: Удаленные



Ну естественно. Но вопрос звучит так: как имея HICON полученный с помощью extracticon(0,filename,0) нарисовать иконку строго 4.286 kb и перенести на ее канву битовую маску? Кто умеет работать с API для рисования?
 
VolfДата: Среда, 19.03.2014, 15:12 | Сообщение # 17
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
Люди добрые,подскажите как найти адрес KERNEL32.DLL в Windows 7,мучаюсь уже недели две
 
StertorДата: Среда, 19.03.2014, 19:04 | Сообщение # 18
Группа: Удаленные



Поищи в сети прогу DependencyWalker. Должна помочь, это тулза от Майкрософта, искать функции в библиотеках.
 
Волк-1024Дата: Суббота, 22.03.2014, 01:42 | Сообщение # 19
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
Цитата Volf ()
Люди добрые,подскажите как найти адрес KERNEL32.DLL в Windows 7,мучаюсь уже недели две

Например, можно получить через SEH(В Wow64 получает адрес ntdll.dll)
Доступно только для пользователей

Можно через PEB:
Доступно только для пользователей


Pascal, C\C++, Assembler, Python

Сообщение отредактировал Волк-1024 - Суббота, 22.03.2014, 01:59
 
HTTqpДата: Четверг, 13.11.2014, 18:48 | Сообщение # 20
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
у меня вопрос, я скомпилировал правда код из модуля перевел в основную программу. Скомпилировалось нормально, без проблем. Файл не ломается но ни чего и не меняется но и вес не меняется, при запуске программы которая по идее была жертвой просто открывается, и ни чего не происходит. Пробовал на Win 7\32 что не так?
 
Anton93Дата: Суббота, 15.11.2014, 14:36 | Сообщение # 21
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
HTTqp,

Цитата
вес не меняется


100% упустил что-то, вес должен заметно изменится


ICQ: 41896
 
SlashДата: Суббота, 15.11.2014, 17:16 | Сообщение # 22
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
Ребятки, опять вернулся к HLLP, да вот только опять проблемы - как редактировать секции файла? мне бы jmp вставить, а вот как - не знаю.
 
Anton93Дата: Суббота, 15.11.2014, 20:11 | Сообщение # 23
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
Slash,

Цитата
как редактировать секции файла?


на уровне байтов, ставим указатель, пишем.

Цитата
мне бы jmp вставить, а вот как - не знаю.


По мимо записи инструкции нужно править заголовок, размер секции, количество секции (если пишешь свой код в новую) итд, зависит от техники заражения


ICQ: 41896
 
HTTqpДата: Суббота, 15.11.2014, 23:20 | Сообщение # 24
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
Цитата Slash ()
Ребятки, опять вернулся к HLLP, да вот только опять проблемы - как редактировать секции файла? мне бы jmp вставить, а вот как - не знаю.

а что ты хочешь именно добиться, запуск из зараженного файла своего файла?
 
SlashДата: Воскресенье, 16.11.2014, 19:06 | Сообщение # 25
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
Цитата HTTqp ()
а что ты хочешь именно добиться, запуск из зараженного файла своего файла?

Да, он именно через прыжок на тело проги.
 
delphicode » Delphi » Вирусология Delphi » заражение ехе (простой способ заражение ехе)
  • Страница 1 из 2
  • 1
  • 2
  • »
Поиск:

delphicode.ru © 2008 - 2024 Хостинг от uCoz