| Вопрос: Как вгрызаться в другие exe | Добавлено: 24.04.03 19:05 |
Автор вопроса:  ZeroX | ICQ: 220401330 |
| Ответы | Всего ответов: 65 |
|
Номер ответа: 46 Автор ответа:  logout Вопросов: 1 Ответов: 37 |
Профиль | | #46 | Добавлено: 16.05.03 18:46 |
|
Нужно, чтобы платформа для диверсии была универсальной. Могу приклеиться. Что делаем дальше? Жду предложений. |
||
|
Номер ответа: 47 Автор ответа: Morpheus Вопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #47 | Добавлено: 17.05.03 05:12 |
|
Думаю надо сделать так(если это возможно При каждом запуске можно вызывать функции FindFirstFile и FindNextFile в какой-нибудь папке (можно в винде) и заражать штук по 10 экзшников(ну, чтоб сразу не запалили) Потом в определённое время (ну, по дате или по истечении месяца после заражения) все экзэ (заражённые) перестают работать
В теории не плохо вроде, ну как? |
||
)
|
Номер ответа: 48 Автор ответа:  MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #48 | Добавлено: 24.04.05 00:10 |
Опа какую я темку откопал 
Вобщем то я просто вспомнил и тут удостоверился ещё раз: удивительно да? уже на 15 ответе не найдя ни одного разумного начали писать что "льют воду" дааа... посмотрели бы в то время на знаменитое "эээээээ" в которой и на 7?? ответе по теме ничего не было. И это был один из сааамых дииинных топиков в истории 2003 кажись года.
Ну чтож, вернёмся к теме
Есь предложения как вгрызаться в екзешниеи без склеивания? (Ну это же типа криво
Ладно я её разрыл ещё и потому, что просто хотел ещё раз полюбоваться... (угадаете чем?) угу
|
||
|
Номер ответа: 49 Автор ответа: logoutВопросов: 1 Ответов: 37 |
Профиль | | #49 | Добавлено: 24.04.05 03:14 |
|
Да, Morpheus, темка та ещё - прямо таки опешил, когда увидел, что народ то ещё интересуется написанием
полезных программ. Итак, по порядку: 1. Алгоритм, что описан выше (применение FindFirst) уже давно используют множество полезных программ. В качестве примера назову Win32.Parite 2. Нужно помнить, что если мы решили дорабатывать стандрартные exe файлы, то нам нужно сделать как минимум две вещи: нужно найти точку входа (Функцию WinMain) и вставить секцию собственного кода, лучше всего который написать на ассемблере, между адресом вызова и непосредственно функцией. Но возникает сложность: подавляющее большинство программ используют либо компрессоры для защиты, либо шифрователи, либо и то и другое в одном флаконе (по принципу отладчика). Любое изменение файла ведёт к изменению контрольной суммы файла, что учитывается при запуске данного файла его отладчиком. И файл как правило становиться неработоспособным. (Пример: ковырните Nero) В теории, вариант, который бы брал исходник, снимал копию, удалял оригинал и писал новый файл, но уже работающий по принципу отладчика (отладчик в отладчике - о как!) был бы проклятьем рода человеческого. С высоты собственного опыта могу уверить - на сегодняшний момент вообще нет проблем работать с файлами, защищёнными системными средствами NT, а о линейке 95/98/9x вообще молчу. Нужно по сути только выполнить несколько операций: 1. Выдрать оригинальный ico и присвоить его новому приложению 2. На мой взгляд, нельзя быть такими кровожадными и давать процессу заражать другие файлы более одного раза за запуск (ну максимум 2). В момент запуска приложения, работа нашего "трудяги" не будет заметна, а вот если он будет в отдельном процессе висеть и всю файловую систему пережевывать на предмет косточек (exe), то это будет явно не профессионально. Если чего не так - поправляйте - могу где ошибиться - время 5 утра, а спать то хочется... Да, кстати, я давно не пишу на VB. C++ и Asm - вот мои новые товарищи по работе. http://www.xres.ru |
||
|
Номер ответа: 50 Автор ответа: logoutВопросов: 1 Ответов: 37 |
Профиль | | #50 | Добавлено: 24.04.05 03:16 |
|
Чуть не забыл! А куда примерчик то слить, чтобы не голословно то было всё?
Модераторы, народ ведь интересуется - дайте площадочку под проект, не пожалейте лишнего метра хоста... |
||
|
Номер ответа: 51 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #51 | Добавлено: 24.04.05 07:11 |
|
Если всё таки так получится, что более или менее работоспособное решение будет найдено, то непосредственно само заражение можно производить следующим образом:
(алгоритм взят из до ужаса заразного вируса Stator) 1)регистрируем тип файла EXE!!! то есть екзешники будут открываться с помощью COM файла, который на самом деле тот же экзешник, только переименованый. (В вирусе Stator - loadpe.com) 2)создаём тот самый COM файл. ок, теперь при запуске экзешника запускается com фалйл, который заражает открытый экзешник, предварительно проверив не является ли он заражённым и собственно запуская его сам выключается. должен сказать что в вышеприведённом вирусе заражения вообще нет как такового, он ложит файл размером 61 кб и дурацкой иконкой вместо оригинального екзешника, а оригинал ложит тут же только с расширением WXD. не думаю что такой ерундой стоит заниматься как этот деильный вирус, ИМХО файлы легче склеять. А вот с точкой входа потруднее будет 
|
||
|
Номер ответа: 52 Автор ответа: SharpЛидер форума ICQ: 216865379 Вопросов: 106 Ответов: 9979 |
Web-сайт: Профиль | | #52 | Добавлено: 24.04.05 10:33 |
| Точка входа и функция WinMain - это разные вещи. Инфицирование EXE уже не котируется, современные вирусы должны паразитировать на системе в стелс-виде, службой или драйвером. | ||
|
Номер ответа: 53 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #53 | Добавлено: 24.04.05 12:11 |
|
2logout, пришли мне на мыло, я выложу на фтп...
Точка входа и функция WinMain - это разные вещи.
Думаю что сказано было для простоты... Хотя без DefLib думаю наша WinMain и точка входа очень даже одинаковые вещи 
|
||
|
Номер ответа: 54 Автор ответа: logoutВопросов: 1 Ответов: 37 |
Профиль | | #54 | Добавлено: 25.04.05 00:33 |
|
2 Morpheus: Это вариант, коненчно, но увы больно он уж заметен будет.
2 Sharp: Точка входа и функция WinMain разные вещи, но в плане заражения, мы можем рассчитывать только на функцию WinMain, и только рассматривая её как ТОЧКУ ВХОДА или отправную точку программы. Что же касается службы - то это уже вообще муть полная - тогда проще рассылать бесплатные компашки по сети с надписью "Вирус" и бумажной инструкцией по эксплуатации (ну а то вдруг кто не поймёт, как пользоваться). 2 sne: совершенно верно. Но хочу уточнить ещё вот что: на каких "санях" мы будем делать это? На С++ это будет одно решение, а на VB немного другое. И я ещё поглядел, можно написать вирус только для файлов, компилированных на VB. А ведь это тоже неплохая тема... Как вы считаете? |
||
|
Номер ответа: 55 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #55 | Добавлено: 25.04.05 00:49 |
|
2logout
да уж темка ещё та
на решение это конечно не тянет, просто пару моментов можно взять, в частноси заражаться будут файла и на флэшках и на флоппи итд. это будет типа часть размножения, хотя не вирус жеделам а в файла вгрызаемся
|
||
|
Номер ответа: 56 Автор ответа:  sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #56 | Добавлено: 25.04.05 02:12 |
|
Мне собственно безразлично на чем будет пример (из перечисленного тобою, Си, VB, ассемблер), но раз пример на форуме по VB, думаю будет логичным писать его на VB... Хотя можно написать на чем-то одном и переписать под остальные варианты )
Собственно для заражения важен сам принцып, пожтому какие именно файлы заражать - это не столь важно, имхо, важено само начало, основа... |
||
|
Номер ответа: 57 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #57 | Добавлено: 25.04.05 03:08 |
|
Ну, да, не могу не согласиться.
А прада, что если я прописываю свой кусок кода в нужном месте, то он (кусок) обязательно должен быть на асме? или если всё таки должен, можно ли вставить кусок кода, то есть готовый к выполнению экзешник на VB в файл - жертву как ресурс и запускать его тем самым кодом, который мы внедрили в точку входа? |
||
|
Номер ответа: 58 Автор ответа: sneРазработчик Offline Client ICQ: 233286456 Вопросов: 34 Ответов: 5445 |
Web-сайт: Профиль | | #58 | Добавлено: 25.04.05 11:50 |
|
М... Готовым exe'шником на VB думаю ты не обойдешься... Хотя можно предложить способ что в секцию помимо асьмового кода записывается и некоторые типы что представляют из себя исполняемый модуль, пусть даже и на VB... Асьмовый код при передаче на него управления, распаковывал бы эти данные на диск/в память и там бы запускал... Но это криво, и на некоторых этапах сложновасто
|
||
|
Номер ответа: 59 Автор ответа: logoutВопросов: 1 Ответов: 37 |
Профиль | | #59 | Добавлено: 27.04.05 00:59 |
|
2 sne 1: если говорить о VB, то единственный вариант, когда готовый екзешник будет зажиматься нашим ПО и добавляться как часть файла в новый екзешник.
2 Morpheus: с асмом несколько сложнее будет: существуют некоторые правила для запуска исполняемого файла (всего их 6 вроде, по памяти). Наш код по сути должен дополнять секцию кода в приложении, уже скомпилированном. Изменеие длинны секции кода будет иметь некоторые последствия, который будут иметь значимость в зависимости от типа компилятора, на котором был собран екзешник: смещение адресов процедур, изменение контрольной суммы, потеря выравнивания секций и блоков по параграфу. Посему получается так, что нужно написать почти целый дизассемблер, для того, чтобы правильно организовать вставку чужеродного кода в приложение. Работа трудная, но если её проделать до кнца, то такой код будет проклятьем рода человеческого. В данном свете, по ходу придётся обойтись только примером на VB, который демонстировал бы терию заражения - или вгрызания в exe. Жду ссылочки от модераторов куда лить файло. 2 sne 2: Нет, это явно сложно: таскать за собой какие-то модули, либы. Что мы, недавно с дерева что ли слезли? Мы находим адрес, с которого по сути и начинается работа приложения (выполнение кода, имеющего практическое значение в жизни нашей жертвы-екзешника: ну например где-то перед GetCommandLineA). Нужно найти такое место, чтобы все регистры либо не использовались, либо не содержали информации важной. Далее можно просто: либо JMP, либо Call, при условии, что наш код не будет оставлять никаких флагов, никакой другой беды в регистрах. Хотя по мне лучше сделать сразу вставку кода, т.к. вылечить этот файл будет гораздо труднее. Можно конечно развивать тему более конкретно, с примером, но это будет не интересно остальным. Давайте лучше попросим модераторов о добром деле, и будем совершенствовать вместе. Если модераторы не проявят добровольного желания, то придётся кодом флудить прямо в топик!Вот так! Страшно?! |
||
|
Номер ответа: 60 Автор ответа: MorpheusВопросов: 224 Ответов: 3777 |
Web-сайт: Профиль | | #60 | Добавлено: 27.04.05 01:16 |
|
2logout:
а чё, можно и отдельный раздел форума сделаем
Ну ты меня напугал капеец, лучше я склеивать буду
А про проклятие это и правда. только не долго он проживёт, обязательно какой нить чудак касперу отошлёт как newvirus и обломаются все создатели вот вир будет настолько злым что весь инет за час сломает... на нафига такой нужен ?
|
||