Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
Последний раз редактировалось: Joker-2013 (2017-10-25 10:29), всего редактировалось 84 раз(а)
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
14537старовата версия... Она для хрюшки только. я в ней склеиваю в w10х32 copy /b sfx; config; 7z - 360 вирус молчит - в лив-сборках распаковывается куда надо Поставил твою, "свежую" - 360 сразу заверещал и прибил выход, ну и на вирус-тотале два определили троян Проверка "частей" по отдельности - вируса нет, как только склеешь - есть. Чуть крыша не поехала...
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
14507Китаец ее далее двигает но не выкладывает в открытый доступ, може пока... Проанализировал утилиту, ничего в ней особенного нет. Таких утилит уйма. И с функционалом по круче имеются.
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
Создание SFX архива Скопируйте модуль "7ZSD_LZMA.sfx" в папку с файлами "Archive.7z" и "config.txt" (например, "C:\7z_test"). Теперь, когда в одной папке собраны все три файла ("Archive.7z", "config.txt" и "7ZSD_LZMA.sfx"), выполните из командной строки следующую команду (порядок следования файлов в команде ОБЯЗАТЕЛЕН): COPY /b 7ZSD_LZMA.sfx + config.txt + Archive.7z AdobeReader7.exe Переименовываем: 7ZSD_LZMA.sfx в 7ZSD_LZMA.sfx.exe видим обычный исполняемый файл с иконкой. Запускаем, пишет что не находит файл конфигурации. Так и должно быть. Исполняемый файл, его еще называют loader или стаб. При склейке, к стабу еще приклеиваются конфиг файл и архив. В том порядке, в котором прописано в строке: 7ZSD_LZMA.sfx + config.txt + Archive.7z На самом деле, расширения файлов не имеют значения. Открываем файл в Hex редакторе и видим следующее: В самом начале файла:
Сигнатура, несколько байт в начале показывают системе, что это исполняемый файл (exe) Такое содержание у нашего файла конфигурации:
В HEX редакторе ищем, вбиваем в поиск слово Install иии...
Видим наш файл в hex Сразу за ним идет приклеенный, или так, слитый файл-архив 7z В самом начале, его сигнатура идентификатор...
Вот по нему, архиваторы и понимают, что это именно 7zip архив (7zipSFX) И появляется возможность открыть исполняемый файл в архиваторе, просмотреть содержимое. если сигнатуру чуть изменить, то архиватор скажет, что невозможно открыть данный файл. НО!! И SFX его не сможет запустить! Для того, что бы все работало, надо найти как определяет сигнатуру модуль и поменять и там значение. Тогда мы получим, исполняемый файл, который будет невозможно открыть не одним архиватором. Поиск конфиг файла осуществляется по строчкам: ;!@Install@!UTF-8! ;!@InstallEnd@! Они встречаются в файле два раза, если в поиск вбить. Первый раз, а стабе, второй раз в конфиге. Если подкорректировать имя, или символ (в двух местах), то файл конфигурации нельзя будет извлечь с помощью: 7ZSplit или SfxSplit,
так как они ищут именно эти строки, и по ним понимают что это конфиг, режут его, копируют на диск, дают имя и расширение (txt)
|
Sinnersoul
- Стаж: 9 лет 9 месяцев
- Сообщений: 10
- Репутация:0[+] [-]
|
14592Реализовал, теперь можно скрыть данные спрятанные в 7zipSFX. Архиватор откроет файл, но только тот что я захочу, а настоящие данные будут скрыты. Вот пример: Ради интереса, поковырял я Executable.exe отвёрточкой, и чуханул несколько раз напильником.Кроме спрятанного hello.cmd (Созданного утром 18 ноября в 09:34) ничего интересного обнаружено не было.
|
Отправлено: 19-Ноя-2015 02:15
(спустя 2 часа 49 минут)
nikzzzz
- Стаж: 9 лет 9 месяцев
- Сообщений: 3114
- Репутация:127[+] [-]
|
А так, создаешь контейнер с помощью Molebox - один исполняемый файл .exe (нужные .exe и .dll кидаешь туда, да и реестр можно временно поправить), не нужно ни чего распаковывать, все делается в памяти, недостаток - излишние потребление ресурсов, что не очень принципиально, и ругань антивирусов.
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
14597И если вообще смысл шифроваться, если для нормального хакера это дело пяти минут? Смысл есть...Он жмет не очень, а палится всем что можно.14595Кроме спрятанного hello.cmd Ну, это только опыты... Сам способ прост до безобразия. Архиватор, для открытия файла, ищет сигнатуру и находя ту, которую считает что может открыть, открывает определенным способом. Первую из найденных...14595Ради интереса, поковырял я Executable.exe отвёрточкой Так и я ради интереса. Если не секрет, как извлекли файл: hello.cmd ? Хотя файл то, извлекается во временную папку и извлечь его от туда не составляет проблем.Что делает sfx, (Stab,loader) он ищет "нужную именно ему сигнатуру" 7ZipSFX от Игоря Павлова (все версии), имеет уязвимость и Xexecute Hide, может скрыть ресурсы файла от архиваторов, подправить название сигнатуры в нескольких местах. В модулях Олега Щербакова и Рошаля, поиск нужной сигнатуры в лоадере, глубоко запрятан и скрыт, в hex не найти совпадений по сигнатуре. Вот тут то и появилась идея... Слить не три файла, А четыре!7zsd_LZMA2.sfx + config.txt + fake.rar + archive.7z 7zipSFX работает так как и раньше, а архиватору мы подсовываем, только то что он должен увидеть!
|
nikzzzz
- Стаж: 9 лет 9 месяцев
- Сообщений: 3114
- Репутация:127[+] [-]
|
14601Если не секрет, как извлекли файл: hello.cmd ? 526172211A07 - сигнатура RAR 377ABCAF271C - сигнатура 7-zip Достаточно в hex редакторе найти нужную сигнатуру и скопировать все, что начинается с нее в файл, и получаешь в твоем случае два архива - rar (Help.txt) и 7z (hello.cmd) Да и config.txt с легкостью извлекается.
Последний раз редактировалось: nikzzzz (2015-11-19 10:24), всего редактировалось 2 раз(а)
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
Про начало сигнатуры я знаю, а как же конец (окончание)? Как hex редактор понимает что файл закончился?найти нужную сигнатуру и скопировать все, что начинается с нее в файл А что нужно нажать в hex редакторе, для извлечения файла? Вчера искал инструмент для извлечения из файла, других файлов по их сигнатурам, но так, ничего хорошего и не нашел...
|
nikzzzz
- Стаж: 9 лет 9 месяцев
- Сообщений: 3114
- Репутация:127[+] [-]
|
14608 Вчера искал инструмент для извлечения из файла, других файлов по их сигнатурам Так, проще самому сделать, пример на AutoIt$sFileIn = 'Executable.exe' $hIn = FileOpen($sFileIn, 16) $sFileIn = FileRead($hIn) FileClose($hIn) $sFile7z = '0x' & StringMid($sFileIn, StringInStr($sFileIn, '377ABCAF271C')) $sFileRar = '0x' & StringMid($sFileIn, StringInStr($sFileIn, '526172211A07')) $sFileConfig = '0x' & StringMid($sFileIn, StringInStr($sFileIn, 'EFBBBF', 1, 2)) $sFileConfig =StringLeft($sFileConfig, StringInStr($sFileConfig, '4021', 1, 2)+1) $hFile7z = FileOpen('Executable.7z', 2 + 16) FileWrite($hFile7z, $sFile7z) FileClose($hFile7z) $hFileRar = FileOpen('Executable.rar', 2 + 16) FileWrite($hFileRar, $sFileRar) FileClose($hFileRar) $hFileConfig = FileOpen('Config.txt', 2 + 16) FileWrite($hFileConfig, $sFileConfig) FileClose($hFileConfig)
Последний раз редактировалось: nikzzzz (2015-11-19 12:47), всего редактировалось 3 раз(а)
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
nikzzzz, файл конфигурации часто также интересен, имхо
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
gera_serg, у текстового файла, нет сигнатуры. Можно определить начало по тексту, но текст легко можно изменить, короче не сделать универсальный экстрактор конфига.
|
Страница 3 из 22
Текущее время: 23-Ноя 13:20
Часовой пояс: UTC + 3
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете прикреплять файлы к сообщениям Вы можете скачивать файлы
|
|