|
Как в hllp вирусе неизменять иконки жертв?
|
|
| XDXDXD | Дата: Среда, 22.02.2012, 20:29 | Сообщение # 1 |
Новичок
Зарегистрирован: 16.10.2010
Группа: Пользователи
Сообщений: 4
Статус: Offline
| заражаемые файлы палятся. Как неизменять иконки заражаемых файлов?
XP
|
| |
| |
| sk0rpi0n | Дата: Четверг, 23.02.2012, 13:33 | Сообщение # 2 |
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
| Я ничего не понял.
UPD: Нужно, чтобы иконки оставались прежними что-ли?
C++ - попса :D
Сообщение отредактировал sk0rpi0n - Четверг, 23.02.2012, 13:34 |
| |
| |
| XDXDXD | Дата: Четверг, 23.02.2012, 16:21 | Сообщение # 3 |
|
Новичок
Зарегистрирован: 16.10.2010
Группа: Пользователи
Сообщений: 4
Статус: Offline
| ДА!
XP
|
| |
| |
| dolphin | Дата: Четверг, 23.02.2012, 18:22 | Сообщение # 4 |
Администратор
Сообщений: 906
Статус: Offline
| Если хочешь чтобы иконка не менялась то нужно поменять способ заражения, например вставить дополнительную секцию тут это было http://delfcode.ru/forum/10-324-1
Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
| |
| Гнилушка | Дата: Четверг, 29.10.2015, 15:09 | Сообщение # 5 |
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
| Нужно искать смещение иконки в файле.
Совсем сайт сгнил ;( Одни крысы тут сидят.
|
| |
| |
| Гнилушка | Дата: Пятница, 30.10.2015, 16:50 | Сообщение # 6 |
|
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
| Эй, здесь вообще кто нибуть бывае? Давайте продолжим обсуждение, мне интересно у кого нибудь получилось бы написать неизменяюший вирус?
Совсем сайт сгнил ;( Одни крысы тут сидят.
|
| |
| |
| Slash | Дата: Суббота, 31.10.2015, 01:09 | Сообщение # 7 |
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата Гнилушка (  ) Нужно искать смещение иконки в файле.
Или писать себя в конец и менять точку входа.
А еще можно на зараженный файл без иконки цеплять предварительно вытянутую и считанную в память иконку до заражения.
|
| |
| |
| Гнилушка | Дата: Суббота, 31.10.2015, 20:28 | Сообщение # 8 |
|
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
| Цитата Slash ( ) А еще можно на зараженный файл без иконки цеплять предварительно вытянутую и считанную в память иконку до заражения.
А если фреймов в иконке несколько? Это будет очень заморочно. Ты умеешь находить смещение в exe? Чтобы записывать иконку без UpdateResource
Совсем сайт сгнил ;( Одни крысы тут сидят.
|
| |
| |
| Slash | Дата: Суббота, 31.10.2015, 22:15 | Сообщение # 9 |
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
| Цитата Гнилушка ( ) А если фреймов в иконке несколько? Это будет очень заморочно. Ты умеешь находить смещение в exe? Чтобы записывать иконку без UpdateResource
Неа, да, с фреймами проблема. Вирусы типа Neshta палятся как раз этим - иконка стает низкого качества.
|
| |
| |
| Гнилушка | Дата: Суббота, 31.10.2015, 23:32 | Сообщение # 10 |
|
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
| Нешта-примитивный и тупой вирус, но если добавлять доп. секцию как десь http://delfcode.ru/forum/10-324-1, файл портится 
Совсем сайт сгнил ;( Одни крысы тут сидят.
|
| |
| |
