|
заражение ехе
|
|
| C@T | Дата: Пятница, 30.07.2010, 20:52 | Сообщение # 1 |
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| Доступно только для пользователей
Сообщение отредактировал C@T - Суббота, 31.07.2010, 10:51 |
| |
| |
| dolphin | Дата: Пятница, 30.07.2010, 23:04 | Сообщение # 2 |
Администратор
Сообщений: 906
Статус: Offline
| Модуль забыл добавить
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| C@T | Дата: Воскресенье, 01.08.2010, 21:19 | Сообщение # 3 |
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| вот мой модуль )))
|
| |
| |
| dolphin | Дата: Воскресенье, 01.08.2010, 21:51 | Сообщение # 4 |
|
Администратор
Сообщений: 906
Статус: Offline
| Ещё разобраться бы в этом коде
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| C@T | Дата: Понедельник, 02.08.2010, 20:12 | Сообщение # 5 |
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| могу все объяснить 603702296
|
| |
| |
| Slash | Дата: Понедельник, 20.05.2013, 07:59 | Сообщение # 6 |
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Отличный метод!Вот только та же проблема что и у меня,файл не работоспособен после заражения!
|
| |
| |
| C@T | Дата: Среда, 17.07.2013, 18:46 | Сообщение # 7 |
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| вот, нарыл у себя на компе исходник шелл кода на асме(использовал TASM), с очень подробными коментариями, может интересно будет 
|
| |
| |
| Anton93 | Дата: Среда, 17.07.2013, 19:44 | Сообщение # 8 |
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| после заражения тоже не смог запустить файл.
C@T, в чем может быть дело? не у меня одного такая трабла
 ICQ: 41896
|
| |
| |
| C@T | Дата: Среда, 17.07.2013, 19:52 | Сообщение # 9 |
|
Авторитетный
Зарегистрирован: 06.03.2010
Группа: Модераторы
Сообщений: 265
Статус: Offline
| Цитата (Anton93) после заражения тоже не смог запустить файл.
C@T, в чем может быть дело? не у меня одного такая трабла
не знаю, дебажить нужно
|
| |
| |
| dolphin | Дата: Четверг, 18.07.2013, 08:45 | Сообщение # 10 |
|
Администратор
Сообщений: 906
Статус: Offline
| Не у одного, у меня на 64 битке тоже отказалось работать, скорее всего проблема либо в этом либо в самой семёрке, потому что на ХР работает.
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Volf | Дата: Суббота, 03.08.2013, 19:19 | Сообщение # 11 |
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
| Проблема в том что этот код будет работать только на XP,так как кернел по другому адресу располагается.
|
| |
| |
| Stertor | Дата: Суббота, 01.03.2014, 18:04 | Сообщение # 12 |
|
Группа: Удаленные
| Прошу прощенья за оффтоп. А каким образом можно реализовать заражение, так, как это делает нешта?
Этот вирус рисует у себя на канве главную иконку заражаемого файла, скидывает файл себе в оверлей и помещает иконку с канвы себе в mainicon.
вопрос в том, как можно корректно, с сохранением качества перерисовать иконку, без использования модуля graphics? Вес срисовываемой иконки не должен меняться, потому, что это вызовет сбой в алгоритме заражения вируса.
|
| |
| |
| xXxSh@dowxXx | Дата: Воскресенье, 02.03.2014, 12:01 | Сообщение # 13 |
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
| Цитата Stertor (  ) вопрос в том, как можно корректно, с сохранением качества перерисовать иконку, без использования модуля graphics?
без модуля graphics даже не знаю как это можно было бы реализовать, если только использовать какой то сторонний модуль, или написать его самому.
а с модулем можно корректно забирать себе иконки чужих .exe файлов, а вот с файлами других расширений выходит кое какой касяк, в данный момент работаю над этим.
|
| |
| |
| Stertor | Дата: Воскресенье, 02.03.2014, 20:57 | Сообщение # 14 |
|
Группа: Удаленные
| есть модуль acworkres.
Сообщение отредактировал Stertor - Понедельник, 03.03.2014, 18:02 |
| |
| |
| Anton93 | Дата: Понедельник, 10.03.2014, 17:06 | Сообщение # 15 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Stertor, на сколько я помню он то же самое, что апишные функции для работы с ресурсами.
ICQ: 41896
|
| |
| |
| Stertor | Дата: Вторник, 11.03.2014, 16:59 | Сообщение # 16 |
|
Группа: Удаленные
| Ну естественно. Но вопрос звучит так: как имея HICON полученный с помощью extracticon(0,filename,0) нарисовать иконку строго 4.286 kb и перенести на ее канву битовую маску? Кто умеет работать с API для рисования?
|
| |
| |
| Volf | Дата: Среда, 19.03.2014, 15:12 | Сообщение # 17 |
|
Частый гость
Зарегистрирован: 11.04.2013
Группа: Пользователи
Сообщений: 41
Статус: Offline
| Люди добрые,подскажите как найти адрес KERNEL32.DLL в Windows 7,мучаюсь уже недели две
|
| |
| |
| Stertor | Дата: Среда, 19.03.2014, 19:04 | Сообщение # 18 |
|
Группа: Удаленные
| Поищи в сети прогу DependencyWalker. Должна помочь, это тулза от Майкрософта, искать функции в библиотеках.
|
| |
| |
| Волк-1024 | Дата: Суббота, 22.03.2014, 01:42 | Сообщение # 19 |
Авторитетный
Зарегистрирован: 24.07.2011
Группа: Модераторы
Сообщений: 469
Статус: Offline
| Цитата Volf ( ) Люди добрые,подскажите как найти адрес KERNEL32.DLL в Windows 7,мучаюсь уже недели две
Например, можно получить через SEH(В Wow64 получает адрес ntdll.dll)
Доступно только для пользователей
Можно через PEB:
Доступно только для пользователей
Pascal, C\C++, Assembler, Python
Сообщение отредактировал Волк-1024 - Суббота, 22.03.2014, 01:59 |
| |
| |
| HTTqp | Дата: Четверг, 13.11.2014, 18:48 | Сообщение # 20 |
|
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
| у меня вопрос, я скомпилировал правда код из модуля перевел в основную программу. Скомпилировалось нормально, без проблем. Файл не ломается но ни чего и не меняется но и вес не меняется, при запуске программы которая по идее была жертвой просто открывается, и ни чего не происходит. Пробовал на Win 7\32 что не так?
|
| |
| |
| Anton93 | Дата: Суббота, 15.11.2014, 14:36 | Сообщение # 21 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| HTTqp,
100% упустил что-то, вес должен заметно изменится
ICQ: 41896
|
| |
| |
| Slash | Дата: Суббота, 15.11.2014, 17:16 | Сообщение # 22 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Ребятки, опять вернулся к HLLP, да вот только опять проблемы - как редактировать секции файла? мне бы jmp вставить, а вот как - не знаю.
|
| |
| |
| Anton93 | Дата: Суббота, 15.11.2014, 20:11 | Сообщение # 23 |
|
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
| Slash,
Цитата как редактировать секции файла?
на уровне байтов, ставим указатель, пишем.
Цитата мне бы jmp вставить, а вот как - не знаю.
По мимо записи инструкции нужно править заголовок, размер секции, количество секции (если пишешь свой код в новую) итд, зависит от техники заражения
ICQ: 41896
|
| |
| |
| HTTqp | Дата: Суббота, 15.11.2014, 23:20 | Сообщение # 24 |
|
Частый гость
Зарегистрирован: 08.10.2014
Группа: Пользователи
Сообщений: 57
Статус: Offline
| Цитата Slash ( ) Ребятки, опять вернулся к HLLP, да вот только опять проблемы - как редактировать секции файла? мне бы jmp вставить, а вот как - не знаю.
а что ты хочешь именно добиться, запуск из зараженного файла своего файла?
|
| |
| |
| Slash | Дата: Воскресенье, 16.11.2014, 19:06 | Сообщение # 25 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата HTTqp ( ) а что ты хочешь именно добиться, запуск из зараженного файла своего файла?
Да, он именно через прыжок на тело проги.
|
| |
| |
