Joker-2013
  - Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
Последний раз редактировалось: Joker-2013 (2017-10-25 10:29), всего редактировалось 84 раз(а)
|
gera_serg
  - Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
14537старовата версия... Она для хрюшки только.
copy /b sfx; config; 7z
- 360 вирус молчит
- в лив-сборках распаковывается куда надо
Поставил твою, "свежую" - 360 сразу заверещал и прибил выход, ну и на вирус-тотале два определили троян
Проверка "частей" по отдельности - вируса нет, как только склеешь - есть.
Чуть крыша не поехала...
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
14507Китаец ее далее двигает но не выкладывает в открытый доступ, може пока...
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
Создание SFX архива
Скопируйте модуль "7ZSD_LZMA.sfx" в папку с файлами "Archive.7z" и "config.txt" (например, "C:\7z_test").
Теперь, когда в одной папке собраны все три файла ("Archive.7z", "config.txt" и "7ZSD_LZMA.sfx"), выполните из командной строки следующую команду (порядок следования файлов в команде ОБЯЗАТЕЛЕН):
COPY /b 7ZSD_LZMA.sfx + config.txt + Archive.7z AdobeReader7.exe
Запускаем, пишет что не находит файл конфигурации. Так и должно быть.
Исполняемый файл, его еще называют loader или стаб.
При склейке, к стабу еще приклеиваются конфиг файл и архив.
В том порядке, в котором прописано в строке: 7ZSD_LZMA.sfx + config.txt + Archive.7z
На самом деле, расширения файлов не имеют значения.
Открываем файл в Hex редакторе и видим следующее:
В самом начале файла:
Сигнатура, несколько байт в начале показывают системе, что это исполняемый файл (exe)
Такое содержание у нашего файла конфигурации:
В HEX редакторе ищем, вбиваем в поиск слово Install иии...
Видим наш файл в hex
Сразу за ним идет приклеенный, или так, слитый файл-архив 7z
В самом начале, его сигнатура идентификатор...
Вот по нему, архиваторы и понимают, что это именно 7zip архив (7zipSFX)
И появляется возможность открыть исполняемый файл в архиваторе, просмотреть содержимое.
если сигнатуру чуть изменить, то архиватор скажет, что невозможно открыть данный файл.
НО!! И SFX его не сможет запустить!
Для того, что бы все работало, надо найти как определяет сигнатуру модуль и поменять и там значение.
Тогда мы получим, исполняемый файл, который будет невозможно открыть не одним архиватором.
Поиск конфиг файла осуществляется по строчкам:
;!@Install@!UTF-8!
;!@InstallEnd@!
Они встречаются в файле два раза, если в поиск вбить.
Первый раз, а стабе, второй раз в конфиге.
Если подкорректировать имя, или символ (в двух местах),
то файл конфигурации нельзя будет извлечь с помощью: 7ZSplit или SfxSplit,
так как они ищут именно эти строки, и по ним понимают что это конфиг,
режут его, копируют на диск, дают имя и расширение (txt)
|
Sinnersoul
 - Стаж: 9 лет 9 месяцев
- Сообщений: 10
- Репутация:0[+] [-]
|
14592Реализовал, теперь можно скрыть данные спрятанные в 7zipSFX.
Архиватор откроет файл, но только тот что я захочу, а настоящие данные будут скрыты.
Вот пример: 
|
![[Цитировать]](./styles/templates/default/images/lang/ru/icon_quote.gif "Ответить с цитатой")
 Отправлено: 19-Ноя-2015 02:15
(спустя 2 часа 49 минут)
nikzzzz
 - Стаж: 9 лет 9 месяцев
- Сообщений: 3114
- Репутация:127[+] [-]
|
А так, создаешь контейнер с помощью Molebox - один исполняемый файл .exe (нужные .exe и .dll кидаешь туда, да и реестр можно временно поправить), не нужно ни чего распаковывать, все делается в памяти, недостаток - излишние потребление ресурсов, что не очень принципиально, и ругань антивирусов.
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
14597И если вообще смысл шифроваться, если для нормального хакера это дело пяти минут? 14595Кроме спрятанного hello.cmd
Сам способ прост до безобразия.
Архиватор, для открытия файла, ищет сигнатуру и находя ту,
которую считает что может открыть, открывает определенным способом.
Первую из найденных...14595Ради интереса, поковырял я Executable.exe отвёрточкой 
Если не секрет, как извлекли файл: hello.cmd ?
Хотя файл то, извлекается во временную папку и извлечь его от туда не составляет проблем.Что делает sfx, (Stab,loader) он ищет "нужную именно ему сигнатуру"
7ZipSFX от Игоря Павлова (все версии), имеет уязвимость и Xexecute Hide,
может скрыть ресурсы файла от архиваторов, подправить название сигнатуры в нескольких местах.
В модулях Олега Щербакова и Рошаля, поиск нужной сигнатуры в лоадере, глубоко запрятан и скрыт,
в hex не найти совпадений по сигнатуре. 
Слить не три файла, А четыре!7zsd_LZMA2.sfx + config.txt + fake.rar + archive.7z
|
nikzzzz
- Стаж: 9 лет 9 месяцев
- Сообщений: 3114
- Репутация:127[+] [-]
|
14601Если не секрет, как извлекли файл: hello.cmd ?
377ABCAF271C - сигнатура 7-zip
Достаточно в hex редакторе найти нужную сигнатуру и скопировать все, что начинается с нее в файл, и получаешь в твоем случае два архива - rar (Help.txt) и 7z (hello.cmd)
Да и config.txt с легкостью извлекается.
Последний раз редактировалось: nikzzzz (2015-11-19 10:24), всего редактировалось 2 раз(а)
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
Про начало сигнатуры я знаю, а как же конец (окончание)?
Как hex редактор понимает что файл закончился?найти нужную сигнатуру и скопировать все, что начинается с нее в файл
Вчера искал инструмент для извлечения из файла,
других файлов по их сигнатурам, но так, ничего хорошего и не нашел...
|
nikzzzz
- Стаж: 9 лет 9 месяцев
- Сообщений: 3114
- Репутация:127[+] [-]
|
14608
Вчера искал инструмент для извлечения из файла,
других файлов по их сигнатурам $sFileIn = 'Executable.exe'
$hIn = FileOpen($sFileIn, 16)
$sFileIn = FileRead($hIn)
FileClose($hIn)
$sFile7z = '0x' & StringMid($sFileIn, StringInStr($sFileIn, '377ABCAF271C'))
$sFileRar = '0x' & StringMid($sFileIn, StringInStr($sFileIn, '526172211A07'))
$sFileConfig = '0x' & StringMid($sFileIn, StringInStr($sFileIn, 'EFBBBF', 1, 2))
$sFileConfig =StringLeft($sFileConfig, StringInStr($sFileConfig, '4021', 1, 2)+1)
$hFile7z = FileOpen('Executable.7z', 2 + 16)
FileWrite($hFile7z, $sFile7z)
FileClose($hFile7z)
$hFileRar = FileOpen('Executable.rar', 2 + 16)
FileWrite($hFileRar, $sFileRar)
FileClose($hFileRar)
$hFileConfig = FileOpen('Config.txt', 2 + 16)
FileWrite($hFileConfig, $sFileConfig)
FileClose($hFileConfig)
Последний раз редактировалось: nikzzzz (2015-11-19 12:47), всего редактировалось 3 раз(а)
|
gera_serg
- Стаж: 9 лет 4 месяца
- Сообщений: 1421
- Репутация:9[+] [-]
|
nikzzzz,
файл конфигурации часто также интересен, имхо
|
Joker-2013
- Стаж: 9 лет 4 месяца
- Сообщений: 2053
- Репутация:120[+] [-]
- Откуда: из прошлого
|
gera_serg, у текстового файла, нет сигнатуры.
Можно определить начало по тексту, но текст легко можно изменить,
короче не сделать универсальный экстрактор конфига.
|
Страница 3 из 22
Текущее время: 21-Ноя 18:16
Часовой пояс: UTC + 3
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы
|
|
Вход
Регистрация
