c t b o t f (программа заменитель байтов)

Написал программу которая очень даже помогает в чистке стабов.
Суть программы: По списку или в цикле меняет байт на указаный или рандомный в вашем стабе и проверяет стаб\программу на работоспособность. Если программа не работает то меняет все обратно, если работает то оставляет как есть все. Специально для тех кто через ОфсетЛокатор чистит стабы есть функция закидывания всех байтов в мемо, их сортировка и убирания "середин". То есть ряд 1,2,3,4,5 превратит в 1,5. А отдельный байт оставит как есть.
Метод проверки файла на работоспособность:
Запускает файл, ждет появления окна, сканит его название и если оно равно тому что указано в программе то значит прога работает. Иначе = не работает. Все потом закрывает и заного.
Теперь о том, как пользоваться:
Кидаем наш exe файлик (стаб то или уже криптованный диалог какой либо) в папку с программой. Запускаем прогу.
Видим ЭТО:


Вверху наш файл который мы закинули туда.
Дальше 00 - это байт на который будет программа пытаться заменять, если галачка рандом стоит то думаю понятно что будет.
Строчка Simple Dialog указывает на строчку с названием окна которое считать "хорошим".
Под этим окном ОТ ДО и С ШАГОМ
Это от какого байта идти и до какого, и указываете шаг, если он равен 1 то будет каждый байт подряд проверять. Маленькая кнопочка m вставит в поле ДО максимальное количество байт, то есть размер файла.
Ниже идет вторая часть программы.
Окно, туда вставлять байты которые нужно пытаться менять. Если записать 2 числа через тире то будет оформляться цикл от 1 числа до 2.
Пример заполнения окна:

И ниже есть кнопка Начать, ну это и начнет перебор всех байтов в окне.
В поле слева этой кнопки указываем путь до ваших файлов оставшихся в офсет локаторе.
Ну а дальше Собираем их, сортируем и вырезаем "середины". Так как мое мнение они не нужны.
И последнее поле:
Задержка!
Это время в МС, которое нужно ждать прежде чем заного начинать цикл.
Т.к. если его не будет то програмка не успеет закрыться и попытается открыться заного. Так нельзя и поэтому нужна задержка.
У меня и на 100мс все работает неплохо. Но иногда всеже бывают ошибки. Поэтому я ставлю 350, ну это сами подберете.




Можно также криптануть Диалог и пройтись программой по нему с шагом 10 начиная с тысяч 5 и до конца. А потом все байты с него перенести в стаб. И того почистите любой стаб от половины антивирей. К примеру вот я прошелся так по файлу с шагом 100 начиная с 7 000 и по 20 000 на рандомные байты. Please login or register to view links и Please login or register to view links

Можно ставить это дело на виртуалки иль же деды. Как на винXP работает не знаю, но на семерке норма.

Программа не имеет экстренного выключения и поэтому если что то пошло не так как ожидается программой то она зациклиться и тогда поможет только Диспечер задач.

Все величины сохраняются в файле config.ini.

Указывайте в теме ошибки и т.п. Буду улучшать программу.

Те кто разгадает почему я назвал программу c t b o t f будет большой молодец. Лайк тому!
(только не флудите в теме с вариантами ответа)

**Скрытый текст: Для просмотра скрытого текста Вы должны авторизоваться.**

Пожалуйста Зарегистрируйтесь или Войдите для того чтоб увидеть текст сообщения!

 

Окей в ближайшее время запишу.

Уже поправил) Забыл указать

 

в реале немного иначе . если чистить более 5000 начинает криптованый файл работать с ошибкой которую невозможно убрать .
эт основня неприятность , онли вб . будет работать токо на 7 а на xp нет . может ещё изменится сигнатура , после чего невозможно вытащить стаб . должно чистить от аваста аналог проги в разделе Чистка Stub .

эт метод неактуальный .

для норм чистки написать пакер , измегитель точки входа ,
полиморфное шифрование или изменитель секций .

 

Думаю сейчас почти все семерку используют, на винXP можно закрыть глаза. А об ошибке какой то после 5000 ничего не замечал. Вот выше пример было 15/22 а стало 8/22 работа 10 минут. Никакой Ошибки такой не видать

 

катаю, прожку твою, както очень нестабильно работает, раза три только смог запустить, всё ошибки выдаёт или тупо молчит и нереагирует
--- добавлено: 24 сен 2013 в 20:29 ---
более стабильную не делал?

 

Пытаюсь так сказать на новый движок перевести.
Ну а эта версия если работать с офсет локатором неплохо думаю себя показывает. Ну а по перебору по всему думаю да, ошибки есть...

Я ему дал))

 

идея хорошая, чтобы быстро отсечь левые антивири, сократить раза в два их, а потом уже добивать постепенно остатки ))
--- добавлено: 24 сен 2013 в 20:54 ---
совет)) из практики, сделай реверс в замене байтов, чтобы не только от 1 до 100 например, а и от 100 до 1 шло, так лучше, все сигнатуры в конце стаба лежат и обработать их легче задом наперёд))

 

Переделал программу!
Версия 4!
Стала гораздо стабильнее!

Теперь криптуем файл Test Dialog. (в архиве)
Потом заменяем в нем байты с помощью программы. (в архиве)
Затем с помощью программы "Заменялка" (в архиве) заменяем байты с криптованного файла в стаб.

Программа Test Dialog отправляет сигнал основной программе о том, что она работает. Если сигнал не поступил то значит не работает.

В программе в пункте задержка тепреь 2 окна.
В 1 вставляем задержку на то чтобы успел отправиться сигнал.
В 2 окно вставляем задержку на то чтобы успели программы закрываться.(обычно маленькое)

Т.к. я не знаю как задерживать время точно то использовал Delay обычный. Он работает криво и за частую по разному время идет при одинаковых величинах.

О программе заменялка:

В 1 окно вставляем файл с которого копируем, в 2-е окно вставляем програмку в которую копируем.
В остальных 2 окнах указываем с какого по какой байт копировать.
Работает быстро. Около секунды на 50000 байт.

**Скрытый текст: Для просмотра скрытого текста Вы должны авторизоваться.**

Пожалуйста Зарегистрируйтесь или Войдите для того чтоб увидеть текст сообщения!

P.s. видео чуть позже. Программа с каждым днем все лучше.:)

 

Забыл написать randomize в начале. И из за этого генерировались одинаковые случайные значения. Исправил, ловите 1 exe программы. Остальное выше.

**Скрытый текст: Для просмотра скрытого текста Вы должны авторизоваться.**

Пожалуйста Зарегистрируйтесь или Войдите для того чтоб увидеть текст сообщения!

 

под именную можно?