[Цитировать]

    Joker-2013
  • 1039
  • Стаж: 9 лет 4 месяца
  • Сообщений: 2053
  • Репутация:120

    [+] [-]
  • Откуда: из прошлого
-В данной теме обсуждаем сборку SFX архивов.-Xexecute Hide
Немного о 7ZipSFX
Прячем файлы в RarSFX, от архиваторов
Скрытие файлов проекта AutoPlay Media Studio
Архиватор KuaiZip
Консольный архиватор из пакета YZX
Make SFX 5.4.46.152 Rus
Clickteam Install Creator Pro
SIM (Smart Install Maker)
ByteCompressor v1.05
7z SFX Builder v2.1 Rus
Создание RarSFX в командной строке
SFX-EXE Producer One-key OK 2in1
SFX-EXE Producer One-key OK 3in1
LZMA_SFX
LZMA2SFX Packer (Отдельная тема)
Разделение 7ZipSFX
7ZipSFX Config Extractor v1.0
7ZipSFX Config Extractor v1.2 и 1.4
SFX Сompiler v2.05
7ZsdRC консольный редактор ресурсов
Смена ресурсов SFX модулей
Verpatch смена информации о версии
Вскрываем NSIS проекты
Easy 7ZipSFX (Отдельная тема)
Mega Packer (Отдельная тема)
SFX Creator
Enigma Virtual Box v7.40
My Autoplay SFX Creator
SFX Config Editor v1.8 (Отдельная тема)
Последняя версия кнопки gora 6.2.3.3437
-Архив модулей 7zSFX /Олега Щербакова/
Обсуждение модулей: 7ZipSFX /Олега Щербакова/


Последний раз редактировалось: Joker-2013 (2017-10-25 10:29), всего редактировалось 84 раз(а)

[Цитировать]

    gera_serg
  • 1171
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1421
  • Репутация:9

    [+] [-]
14537старовата версия... Она для хрюшки только.
я в ней склеиваю в w10х32
copy /b sfx; config; 7z
- 360 вирус молчит
- в лив-сборках распаковывается куда надо
Поставил твою, "свежую" - 360 сразу заверещал и прибил выход, ну и на вирус-тотале два определили троян
Проверка "частей" по отдельности - вируса нет, как только склеешь - есть.
Чуть крыша не поехала...

[Цитировать]

    Joker-2013
  • 1039
  • Стаж: 9 лет 4 месяца
  • Сообщений: 2053
  • Репутация:120

    [+] [-]
  • Откуда: из прошлого
14507Китаец ее далее двигает но не выкладывает в открытый доступ, може пока...
Проанализировал утилиту, ничего в ней особенного нет. Таких утилит уйма. И с функционалом по круче имеются.

[Цитировать]

    Joker-2013
  • 1039
  • Стаж: 9 лет 4 месяца
  • Сообщений: 2053
  • Репутация:120

    [+] [-]
  • Откуда: из прошлого
Создание SFX архива
Скопируйте модуль "7ZSD_LZMA.sfx" в папку с файлами "Archive.7z" и "config.txt" (например, "C:\7z_test").
Теперь, когда в одной папке собраны все три файла ("Archive.7z", "config.txt" и "7ZSD_LZMA.sfx"), выполните из командной строки следующую команду (порядок следования файлов в команде ОБЯЗАТЕЛЕН):
COPY /b 7ZSD_LZMA.sfx + config.txt + Archive.7z AdobeReader7.exe
Переименовываем: 7ZSD_LZMA.sfx в 7ZSD_LZMA.sfx.exe видим обычный исполняемый файл с иконкой.
Запускаем, пишет что не находит файл конфигурации. Так и должно быть.
Исполняемый файл, его еще называют loader или стаб.
При склейке, к стабу еще приклеиваются конфиг файл и архив.
В том порядке, в котором прописано в строке: 7ZSD_LZMA.sfx + config.txt + Archive.7z
На самом деле, расширения файлов не имеют значения.
Открываем файл в Hex редакторе и видим следующее:
В самом начале файла:

Сигнатура, несколько байт в начале показывают системе, что это исполняемый файл (exe)
Такое содержание у нашего файла конфигурации:

В HEX редакторе ищем, вбиваем в поиск слово Install иии...

Видим наш файл в hex
Сразу за ним идет приклеенный, или так, слитый файл-архив 7z
В самом начале, его сигнатура идентификатор...

Вот по нему, архиваторы и понимают, что это именно 7zip архив (7zipSFX)
И появляется возможность открыть исполняемый файл в архиваторе, просмотреть содержимое.
если сигнатуру чуть изменить, то архиватор скажет, что невозможно открыть данный файл.
НО!! И SFX его не сможет запустить!
Для того, что бы все работало, надо найти как определяет сигнатуру модуль и поменять и там значение.
Тогда мы получим, исполняемый файл, который будет невозможно открыть не одним архиватором.
Поиск конфиг файла осуществляется по строчкам:
;!@Install@!UTF-8!
;!@InstallEnd@!
Они встречаются в файле два раза, если в поиск вбить.
Первый раз, а стабе, второй раз в конфиге.
Если подкорректировать имя, или символ (в двух местах),
то файл конфигурации нельзя будет извлечь с помощью: 7ZSplit или SfxSplit,

так как они ищут именно эти строки, и по ним понимают что это конфиг,
режут его, копируют на диск, дают имя и расширение (txt)

[Цитировать]

    Joker-2013
  • 1039
  • Стаж: 9 лет 4 месяца
  • Сообщений: 2053
  • Репутация:120

    [+] [-]
  • Откуда: из прошлого
Реализовал, теперь можно скрыть данные спрятанные в 7zipSFX.
Архиватор откроет файл, но только тот что я захочу, а настоящие данные будут скрыты.
Вот пример:

[Цитировать]

    Sinnersoul
  • 317
  • Стаж: 9 лет 9 месяцев
  • Сообщений: 10
  • Репутация:0

    [+] [-]
14592Реализовал, теперь можно скрыть данные спрятанные в 7zipSFX.
Архиватор откроет файл, но только тот что я захочу, а настоящие данные будут скрыты.
Вот пример:
Ради интереса, поковырял я Executable.exe отвёрточкой, и чуханул несколько раз напильником.

Скрин

Кроме спрятанного hello.cmd (Созданного утром 18 ноября в 09:34) ничего интересного обнаружено не было. bk

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет 9 месяцев
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
Joker-2013,
Так hello.cmd определяет что показать, при чем здесь
14592но только тот что я захочу, а настоящие данные будут скрыты
?
И если вообще смысл шифроваться, если для нормального хакера это дело пяти минут?
Переходи уж , тогда на идеологию MicroSoft, активация ac

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет 9 месяцев
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
А так, создаешь контейнер с помощью Molebox - один исполняемый файл .exe (нужные .exe и .dll кидаешь туда, да и реестр можно временно поправить), не нужно ни чего распаковывать, все делается в памяти, недостаток - излишние потребление ресурсов, что не очень принципиально, и ругань антивирусов.

[Цитировать]

    Joker-2013
  • 1039
  • Стаж: 9 лет 4 месяца
  • Сообщений: 2053
  • Репутация:120

    [+] [-]
  • Откуда: из прошлого
14597И если вообще смысл шифроваться, если для нормального хакера это дело пяти минут?
Смысл есть...
14598Molebox
Он жмет не очень, а палится всем что можно.
14595Кроме спрятанного hello.cmd
Ну, это только опыты...
Сам способ прост до безобразия.
Архиватор, для открытия файла, ищет сигнатуру и находя ту,
которую считает что может открыть, открывает определенным способом.
Первую из найденных...
14595Ради интереса, поковырял я Executable.exe отвёрточкой
Так и я ради интереса. az
Если не секрет, как извлекли файл: hello.cmd ?
Хотя файл то, извлекается во временную папку и извлечь его от туда не составляет проблем.
Что делает sfx, (Stab,loader) он ищет "нужную именно ему сигнатуру"
7ZipSFX от Игоря Павлова (все версии), имеет уязвимость и Xexecute Hide,
может скрыть ресурсы файла от архиваторов, подправить название сигнатуры в нескольких местах.
В модулях Олега Щербакова и Рошаля, поиск нужной сигнатуры в лоадере, глубоко запрятан и скрыт,
в hex не найти совпадений по сигнатуре.
Вот тут то и появилась идея... ag
Слить не три файла, А четыре!
7zsd_LZMA2.sfx + config.txt +  fake.rar + archive.7z
7zipSFX работает так как и раньше, а архиватору мы подсовываем, только то что он должен увидеть!

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет 9 месяцев
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
14601Если не секрет, как извлекли файл: hello.cmd ?
526172211A07 - сигнатура RAR
377ABCAF271C - сигнатура 7-zip
Достаточно в hex редакторе найти нужную сигнатуру и скопировать все, что начинается с нее в файл, и получаешь в твоем случае два архива - rar (Help.txt) и 7z (hello.cmd)
Да и config.txt с легкостью извлекается.


Последний раз редактировалось: nikzzzz (2015-11-19 10:24), всего редактировалось 2 раз(а)

[Цитировать]

    Joker-2013
  • 1039
  • Стаж: 9 лет 4 месяца
  • Сообщений: 2053
  • Репутация:120

    [+] [-]
  • Откуда: из прошлого
Про начало сигнатуры я знаю, а как же конец (окончание)?
Как hex редактор понимает что файл закончился?
найти нужную сигнатуру и скопировать все, что начинается с нее в файл
А что нужно нажать в hex редакторе, для извлечения файла?
Вчера искал инструмент для извлечения из файла,
других файлов по их сигнатурам, но так, ничего хорошего и не нашел...

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет 9 месяцев
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
Joker-2013,
Например, в WinHex выделяешь все, начиная с сигнатуры, Правка>CopyBlock>в файл, получишь полноценный архив.
14608как же конец (окончание)?
Хвост не будет мешать, архиваторам на него наплевать. ad

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет 9 месяцев
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
14608
Вчера искал инструмент для извлечения из файла,
других файлов по их сигнатурам
Так, проще самому сделать, пример на AutoIt
$sFileIn = 'Executable.exe'
$hIn = FileOpen($sFileIn, 16)
$sFileIn = FileRead($hIn)
FileClose($hIn)
$sFile7z = '0x' & StringMid($sFileIn, StringInStr($sFileIn, '377ABCAF271C'))
$sFileRar = '0x' & StringMid($sFileIn, StringInStr($sFileIn, '526172211A07'))
$sFileConfig = '0x' & StringMid($sFileIn, StringInStr($sFileIn, 'EFBBBF', 1, 2))
$sFileConfig =StringLeft($sFileConfig, StringInStr($sFileConfig, '4021', 1, 2)+1)
$hFile7z = FileOpen('Executable.7z', 2 + 16)
FileWrite($hFile7z, $sFile7z)
FileClose($hFile7z)
$hFileRar = FileOpen('Executable.rar', 2 + 16)
FileWrite($hFileRar, $sFileRar)
FileClose($hFileRar)
$hFileConfig = FileOpen('Config.txt', 2 + 16)
FileWrite($hFileConfig, $sFileConfig)
FileClose($hFileConfig)


Последний раз редактировалось: nikzzzz (2015-11-19 12:47), всего редактировалось 3 раз(а)

[Цитировать]

    gera_serg
  • 1171
  • Стаж: 9 лет 4 месяца
  • Сообщений: 1421
  • Репутация:9

    [+] [-]
nikzzzz,
файл конфигурации часто также интересен, имхо

[Цитировать]

    Joker-2013
  • 1039
  • Стаж: 9 лет 4 месяца
  • Сообщений: 2053
  • Репутация:120

    [+] [-]
  • Откуда: из прошлого
gera_serg, у текстового файла, нет сигнатуры.
Можно определить начало по тексту, но текст легко можно изменить,
короче не сделать универсальный экстрактор конфига.

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет 9 месяцев
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
14619у текстового файла, нет сигнатуры.
Дополнил пример в предыдущем посте, теперь извлекает Config.txt . ap

Страница 3 из 22


Показать сообщения:    

Текущее время: 23-Ноя 13:20

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы