1
  1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Прячем зло от virustotal

Тема в разделе "Наши статьи", создана пользователем Херка-тян, 20 дек 2012.

  1. TopicStarter Overlay
    Херка-тян

    Херка-тян

    Регистрация:
    28 июл 2012
    Сообщения:
    220
    Симпатии:
    249
    Допустим у нас имеется криптор приватный или не очень. И нам бы хотелось, чтобы он не палился как можно дольше. Но зачастую мнительные пользователи заливают подозрительные файлы на virustotal и прочие подобные ресурсы. В итоге наше зло распознается половиной антивирусов уже через пару дней. Чтобы этого не происходило, делаем наш файл недоступным для сканирования.
    Нам понадобятся:
    - winrar;
    - конвертер из bat в exe формат.
    Злой файл Crypted архивируем в самораспаковывающийся sfx архив, установив при этом пароль.
    В дополнительных параметрах sfx делаем как на картинках.
    [​IMG]

    [​IMG]

    [​IMG]

    [​IMG]
    Присваиваем этому архиву имя result.exe.
    Создаем батник start.bat с текстом:
    start result.exe –pПароль (активирует запароленный sfx архив)
    start отвлекающая картинка.jpg (здесь может быть все что угодно – картинка, файл, текстовый документ)
    Конвертируем наш батник в формат exe для того чтобы не вылезало черное окошко. Конвертер найдёте сами.
    Выделяем result.exe, start.exe, отвлекающая картинка.jpg и архивируем в один sfx архив только без пароля и с файлом start.exe в графе выполнить после установки. В вкладке текст и графика можно поменять иконку. Также можно поменять расширение с exe на scr. Советую полученный файл ещё раз заархивировать, на этот раз в обычный архив, дабы почтовики не палили нашу поделку знаком вопроса.

    Р.С. Подскажите кто-нибудь, как сделать, чтобы вместо отвлекающей картинки вылезало сообщение об ошибке.
     
    • Like Like x 8
    Метки:
  2. NeeON

    NeeON

    Регистрация:
    24 окт 2012
    Сообщения:
    406
    Симпатии:
    386
    Ну норм. :)
     
    • Like Like x 1
  3. aassaa

    aassaa

    Регистрация:
    4 дек 2012
    Сообщения:
    123
    Симпатии:
    30
    + за статью
    хорошкф
     
  4. Slowpoke

    Slowpoke

    Регистрация:
    22 авг 2012
    Сообщения:
    303
    Симпатии:
    135
    Самописный софт спасет. В принципе, все ж это банально просто: заместо отвлекающей картинки можно запустить экзешник, который будет менять положение программы относительно байта MZ и там прописывать несколько строчек в стиле хэллоуворлда, но только с ошибкой.
     
  5. EEjester

    EEjester hack_the_god

    Регистрация:
    25 окт 2012
    Сообщения:
    1.326
    Симпатии:
    941
    Давно знал, давно умел.
     
  6. TopicStarter Overlay
    Херка-тян

    Херка-тян

    Регистрация:
    28 июл 2012
    Сообщения:
    220
    Симпатии:
    249
    Файл под запароленным архивом не сканируемый и троян могут поймать только на лету. Начтет повышения палевности трояна если он вылезает из архива я ничего сказать не могу. Может и так но я не знаю как это проверить.
     
  7. TopicStarter Overlay
    Херка-тян

    Херка-тян

    Регистрация:
    28 июл 2012
    Сообщения:
    220
    Симпатии:
    249
    Ну да, этот способ ещё надо шлифовать.
    Р.С. Лихо ты Папай слова то закручиваешь ;)
     
  8. EEjester

    EEjester hack_the_god

    Регистрация:
    25 окт 2012
    Сообщения:
    1.326
    Симпатии:
    941
    Тогда что ты забыл на этом форуме? (:
     
  9. Lex

    Lex

    Регистрация:
    10 дек 2012
    Сообщения:
    56
    Симпатии:
    34
    Please login or register to view links держи. Делал сам, найти можно Please login or register to view links. Запускать надо с параметрами error.exe -n ЗАГОЛОВОК_ОКНА -m СООБЩЕНИЕ_ОКНА -i ВАРИАНТ_ИКОНКИ
    Вариантов иконки в программе две "error" и "warning". Пример: "-n System Error -m Не удалось запустить программу Error 3035 -i error"
     
    • Like Like x 1
  10. Lex

    Lex

    Регистрация:
    10 дек 2012
    Сообщения:
    56
    Симпатии:
    34
    нет, если надо могу засветить код
     
  11. Lex

    Lex

    Регистрация:
    10 дек 2012
    Сообщения:
    56
    Симпатии:
    34
    Код:
    int APIENTRY _tWinMain(HINSTANCE hInstance,
                        HINSTANCE hPrevInstance,
                        LPTSTR    lpCmdLine,
                        int      nCmdShow)
    {
        string str = lpCmdLine;
        string Name,Message,Icon;
        size_t found,foundEnd;
     
        found=str.find("-n ")+3;
        foundEnd=str.find_first_of("-",found)-1;
        Name=str.substr(found,foundEnd-found);
     
        found=str.find("-m ")+3;
        foundEnd=str.find_first_of("-",found)-1;
        Message=str.substr(found,foundEnd-found);
     
        found=str.find("-i ")+3;
        foundEnd=str.find_first_of("-",found)-1;
        Icon=str.substr(found,foundEnd-found);
     
        if(Icon=="error")MessageBox(NULL,Message.c_str(),Name.c_str(),MB_ICONERROR|MB_OK);
        if(Icon=="warning")MessageBox(NULL,Message.c_str(),Name.c_str(),MB_ICONWARNING|MB_OK);
       
        return 0;
    }
    
    Please login or register to view links
    Хватит офтопить
     

Поделиться этой страницей

Загрузка...