1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

c t b o t f (программа заменитель байтов)

Тема в разделе "Чистка Stub", создана пользователем Alex-ey, 23 сен 2013.

  1. TopicStarter Overlay
    Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Написал программу которая очень даже помогает в чистке стабов.
    Суть программы: По списку или в цикле меняет байт на указаный или рандомный в вашем стабе и проверяет стаб\программу на работоспособность. Если программа не работает то меняет все обратно, если работает то оставляет как есть все. Специально для тех кто через ОфсетЛокатор чистит стабы есть функция закидывания всех байтов в мемо, их сортировка и убирания "середин". То есть ряд 1,2,3,4,5 превратит в 1,5. А отдельный байт оставит как есть.
    Метод проверки файла на работоспособность:
    Запускает файл, ждет появления окна, сканит его название и если оно равно тому что указано в программе то значит прога работает. Иначе = не работает. Все потом закрывает и заного.
    Теперь о том, как пользоваться:
    Кидаем наш exe файлик (стаб то или уже криптованный диалог какой либо) в папку с программой. Запускаем прогу.
    Видим ЭТО:
    [​IMG]

    Вверху наш файл который мы закинули туда.
    Дальше 00 - это байт на который будет программа пытаться заменять, если галачка рандом стоит то думаю понятно что будет.
    Строчка Simple Dialog указывает на строчку с названием окна которое считать "хорошим".
    Под этим окном ОТ ДО и С ШАГОМ
    Это от какого байта идти и до какого, и указываете шаг, если он равен 1 то будет каждый байт подряд проверять. Маленькая кнопочка m вставит в поле ДО максимальное количество байт, то есть размер файла.
    Ниже идет вторая часть программы.
    Окно, туда вставлять байты которые нужно пытаться менять. Если записать 2 числа через тире то будет оформляться цикл от 1 числа до 2.
    Пример заполнения окна:

    И ниже есть кнопка Начать, ну это и начнет перебор всех байтов в окне.
    В поле слева этой кнопки указываем путь до ваших файлов оставшихся в офсет локаторе.
    Ну а дальше Собираем их, сортируем и вырезаем "середины". Так как мое мнение они не нужны.
    И последнее поле:
    Задержка!
    Это время в МС, которое нужно ждать прежде чем заного начинать цикл.
    Т.к. если его не будет то програмка не успеет закрыться и попытается открыться заного. Так нельзя и поэтому нужна задержка.
    У меня и на 100мс все работает неплохо. Но иногда всеже бывают ошибки. Поэтому я ставлю 350, ну это сами подберете.




    Можно также криптануть Диалог и пройтись программой по нему с шагом 10 начиная с тысяч 5 и до конца. А потом все байты с него перенести в стаб. И того почистите любой стаб от половины антивирей. К примеру вот я прошелся так по файлу с шагом 100 начиная с 7 000 и по 20 000 на рандомные байты. Please login or register to view links и Please login or register to view links

    Можно ставить это дело на виртуалки иль же деды. Как на винXP работает не знаю, но на семерке норма.

    Программа не имеет экстренного выключения и поэтому если что то пошло не так как ожидается программой то она зациклиться и тогда поможет только Диспечер задач.

    Все величины сохраняются в файле config.ini.

    Указывайте в теме ошибки и т.п. Буду улучшать программу.

    Те кто разгадает почему я назвал программу c t b o t f будет большой молодец. Лайк тому!
    (только не флудите в теме с вариантами ответа)

    **Скрытый текст: Для просмотра скрытого текста Вы должны авторизоваться.**

    Пожалуйста Зарегистрируйтесь или Войдите для того чтоб увидеть текст сообщения!

     
    • Like Like x 8
    Метки:
  2. Grek

    Grek Команда форума

    Регистрация:
    14 ноя 2012
    Сообщения:
    1.461
    Симпатии:
    1.446
    ты бы видюшку сделал бы
     
  3. TopicStarter Overlay
    Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Окей в ближайшее время запишу.

    Уже поправил) Забыл указать
     
    • Like Like x 1
  4. usFire

    usFire

    Регистрация:
    20 авг 2012
    Сообщения:
    274
    Симпатии:
    177
    в реале немного иначе . если чистить более 5000 начинает криптованый файл работать с ошибкой которую невозможно убрать .
    эт основня неприятность , онли вб . будет работать токо на 7 а на xp нет . может ещё изменится сигнатура , после чего невозможно вытащить стаб . должно чистить от аваста аналог проги в разделе Чистка Stub .

    эт метод неактуальный .

    для норм чистки написать пакер , измегитель точки входа ,
    полиморфное шифрование или изменитель секций .
     
  5. TopicStarter Overlay
    Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Думаю сейчас почти все семерку используют, на винXP можно закрыть глаза. А об ошибке какой то после 5000 ничего не замечал. Вот выше пример было 15/22 а стало 8/22 работа 10 минут. Никакой Ошибки такой не видать
     
  6. todrom

    todrom

    Регистрация:
    8 июн 2013
    Сообщения:
    31
    Симпатии:
    39
    катаю, прожку твою, както очень нестабильно работает, раза три только смог запустить, всё ошибки выдаёт или тупо молчит и нереагирует
    --- добавлено: 24 сен 2013 в 20:29 ---
    более стабильную не делал?
     
  7. TopicStarter Overlay
    Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Пытаюсь так сказать на новый движок перевести.
    Ну а эта версия если работать с офсет локатором неплохо думаю себя показывает. Ну а по перебору по всему думаю да, ошибки есть...

    Я ему дал))
     
  8. todrom

    todrom

    Регистрация:
    8 июн 2013
    Сообщения:
    31
    Симпатии:
    39
    идея хорошая, чтобы быстро отсечь левые антивири, сократить раза в два их, а потом уже добивать постепенно остатки ))
    --- добавлено: 24 сен 2013 в 20:54 ---
    совет)) из практики, сделай реверс в замене байтов, чтобы не только от 1 до 100 например, а и от 100 до 1 шло, так лучше, все сигнатуры в конце стаба лежат и обработать их легче задом наперёд))
     
    • Like Like x 1
  9. TopicStarter Overlay
    Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Переделал программу!
    Версия 4!
    Стала гораздо стабильнее!

    Теперь криптуем файл Test Dialog. (в архиве)
    Потом заменяем в нем байты с помощью программы. (в архиве)
    Затем с помощью программы "Заменялка" (в архиве) заменяем байты с криптованного файла в стаб.

    Программа Test Dialog отправляет сигнал основной программе о том, что она работает. Если сигнал не поступил то значит не работает.

    В программе в пункте задержка тепреь 2 окна.
    В 1 вставляем задержку на то чтобы успел отправиться сигнал.
    В 2 окно вставляем задержку на то чтобы успели программы закрываться.(обычно маленькое)

    Т.к. я не знаю как задерживать время точно то использовал Delay обычный. Он работает криво и за частую по разному время идет при одинаковых величинах.

    О программе заменялка:

    В 1 окно вставляем файл с которого копируем, в 2-е окно вставляем програмку в которую копируем.
    В остальных 2 окнах указываем с какого по какой байт копировать.
    Работает быстро. Около секунды на 50000 байт.
    [​IMG]



    **Скрытый текст: Для просмотра скрытого текста Вы должны авторизоваться.**

    Пожалуйста Зарегистрируйтесь или Войдите для того чтоб увидеть текст сообщения!

    P.s. видео чуть позже. Программа с каждым днем все лучше.:)
     
    • Like Like x 4
  10. TopicStarter Overlay
    Alex-ey

    Alex-ey

    Регистрация:
    26 май 2012
    Сообщения:
    513
    Симпатии:
    323
    Забыл написать randomize в начале. И из за этого генерировались одинаковые случайные значения. Исправил, ловите 1 exe программы. Остальное выше.

    **Скрытый текст: Для просмотра скрытого текста Вы должны авторизоваться.**

    Пожалуйста Зарегистрируйтесь или Войдите для того чтоб увидеть текст сообщения!

     
  11. manwithlog

    manwithlog

    Регистрация:
    17 дек 2012
    Сообщения:
    65
    Симпатии:
    20
    под именную можно?
     

Поделиться этой страницей

Загрузка...