1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Краткий FAQ по склейке, криптованию вирусов\троев для новичков.

Тема в разделе "Самое важное", создана пользователем onthar, 25 сен 2008.

  1. onthar
    onthar Команда форума Админ
    Симпатии:
    396
    Краткий FAQ по присоединению вирусов\троев\прочей мальвари к другим файлам, картинкам, видео, музыке и т.д.
    Один из самых распространненых вопросов в разделе "Для Новичков" - это: "а можно ли склеить картинку с вирусом? %)"
    Поиском такие личности не пользуются из каких-то своих тайных побуждений, мне лично неизвестных...
    Так вот я решил создать тему, где будет опубликованы ответы на эти самые частые вопросы. Поехали:


    1)Можно ли объединить картинку (*.jpg) с вирусом?
    -Можно. Для этого нужно использовать любой джойнер\биндер или архиватор (*.sfx, *.exe). Результат (склееный файл) будет иметь расширение *.exe, *.bat, *.cmd, *.scr, *.com, *.pif (далее просто *.exe) и никакой больше!

    2)Как сделать, что бы склееный файл имел расширение картинки (любое не *.exe)?
    - Никак. Вернее без дополнительного вмешательства в реестр жертвы никак. Но это вам еще рано.

    3) Как сделать, что бы вирус не палился антивирусами?
    - Для этого нужно использовать криптор\протектор. Который будет внедрять в бинарник мальвари свой стаб, за которым и будут охотиться антивирусы во время сканирования (scantime).
    Так же можно шифровать вручную. Статьи об ручном инжекте и шифровании на сайте есть, просто нужно немного поискать в разделе Undeground.

    4) Я склеил файлы (или закриптовал их) а они перестали запускаться.
    Как быть?

    - Выходов много, возможно криптор\джойнер повредил целостность исходного файла. В таком случае нужно искать другой критор\джойнер, желательно приватный, так как он надежнее и дольше не палица.
    Еще бывают случаи, что криптованый файл не запускается на VM (VMware)это специальная защита от различных тестов и реверсинга.

    Итог: Получить исполнимый склееный файл с расширением *.jpg и тому подобными - не возможно. Файл просто не запуститься.
    В крайнем случае можно сделать файл *jpg.exe, поставить в настройках папки "скрывать расширения зарегистрированных типов фалов" и присобачить иконку картинки.

    Весь необходимый софт тут.
    (с) Onthar

    Если кто-то что-то может дополнить, милости прошу. Если достаточно, то можно закрепить где-нить.=) Спасибо за внимание.
     
    Последнее редактирование: 12 окт 2009
    25 сен 2008
    1 человеку нравится это.
  2. exzt
    exzt Новичок
    Симпатии:
    0
    Как сделать, что бы склееный файл имел расширение картинки (любое не *.exe)?
    - Никак. Вернее без дополнительного вмешательства в реестр жертвы никак


    c этим не соглашусь, где-то год назад пробовал,брал по моему на хакерог,но криптовать была проблемма и забросил,но на выходе был jpeg
     
    11 окт 2009
  3. onthar
    onthar Команда форума Админ
    Симпатии:
    396
    exzt,
    не помню, что.. не помню где.. но свои пять копеек вставить обязательно нужно.

    Вот когда вместе с алгоритмами работы кто-то опишет в этой теме - добавлю в первый пост.
     
    11 окт 2009
  4. exzt
    exzt Новичок
    Симпатии:
    0
    так если найду? после этого снасил винду несколько раз,если найду на дисках ,дам проверить

    Добавлено через 21 минуту
    ну вот смотри поправь меня если я не прав,
    была более подробная инфа,но посеял

    1. Сначала запускаем GENERATE.bat
    2. компилируем проект(CTRL+F9), должен появится файл jpg_gen.bin
    3. переименовываем в jpg_gen.jpg

    файлы:

    hello.exe - программа, которая запустится при открытии jpg_gen.jpg (надо переименновать ваш трой.)
    lucky.jpg - исходный jpg-файл
    jpg_gen.asm - генератор
    FASMW.EXE - компилятор для asm файлов

    http://depositfiles.com/files/4a9wgs6ff

    Добавлено через 27 минут
    если найдете метод криптовки отпишитесь,
    но помоему надо чистить этот файлик jpg_gen.asm

    пасс - 111 или 1111
    перед тестом замените на свой hello.exe (трой) и lucky.jpg любую фотку формата jpg

    сам факт (минусов налепил не за что,,занаю где звон), я считаю была эта фишка, значит есть и другая просто стоит соответственно
     
    Последнее редактирование модератором: 12 окт 2009
    12 окт 2009
  5. onthar
    onthar Команда форума Админ
    Симпатии:
    396
    Эта уязвимсоть прикрыта уже в хп сп1 - сп2.

    http://www.gotdotnet.ru/News/MSNews/79490.aspx

    exzt,
    есть вопросы?
     
    Последнее редактирование: 12 окт 2009
    12 окт 2009
  6. onthar
    onthar Команда форума Админ
    Симпатии:
    396
    Jakkaru, тут уж от джойнера зависит.
     
    28 апр 2011
  7. chimatii
    chimatii Глобальный модератор
    Симпатии:
    101
    23 авг 2011
  8. Antiment
    Antiment Новичок
    Симпатии:
    2
    Где-то тут на форуме встречал тему,где описано как прятать вирусы от АВ вручную,но вот перерыл весь и форум и не могу найти когда надо )))
    Подскажите,где эта тема ?

    Да ))) именно оно ))) спс.
     
    23 авг 2011
  9. TDI
    TDI Новичок
    Симпатии:
    38
    Да, а вот и сама программа для этого Bitmap Encode (c) dx
     
    13 янв 2012
  10. yomayo
    yomayo Новичок
    Симпатии:
    0
    сам я новичок во всём этом но маленько разбираюсь, может кто посоветует нормальный криптор\протектор а то какой не пробую у друга аваст палит
     
    27 июн 2013
  11. DarkJoker
    DarkJoker Banned
    Симпатии:
    0
    паблик крипторы все палятся за день,попробуй пакер енигма,юпх подожми ещё
     
    6 июн 2014
  12. D@rk_P00l
    D@rk_P00l Новичок
    Симпатии:
    0
    бОООльшое спасибо!Помог:rolleyes:
     
    9 июн 2016

Поделиться этой страницей

Загрузка...