X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 174
Репутация
8 310
templ_1352053367_orig_A-chto-esli.jpg


Всем привет !

Анализируя код какого-то шифровальщика, иногда замечаешь, что-то типо такого:
Код:
@echo off
set txxzhqeewo=s
%txxzhqeewo%et jjhseanutx=e
%txxzhqeewo%%jjhseanutx%t wokkknxxah=t
%txxzhqeewo%%jjhseanutx%%wokkknxxah% ylgwdltxgj=a
goto HHMQRCGVOZ
%dboawgbqcp%%tsyjnqufxt%%bxlnnicjud% ngxymvxurm=a
:HHMQRCGVOZ
%txxzhqeewo%%jjhseanutx%%wokkknxxah% jmgabafufh=b
goto NMFZCWAATW
%dboawgbqcp%%auizfjddmq%%ufigipostz% coedbhhdgj=b
:NMFZCWAATW
%txxzhqeewo%%jjhseanutx%%wokkknxxah% fbjumeppuc=c
goto GQTZDDBCDT
%dboawgbqcp%%betodifqwn%%kfzzlzcndx% duhzgfyjag=c
:GQTZDDBCDT
%txxzhqeewo%%jjhseanutx%%wokkknxxah% hdewybwoza=d
goto DXGHDFQJMQ
%dboawgbqcp%%yhyckkjqqk%%topqupjyiu% ctdtvhrcfe=d
:DXGHDFQJMQ
%txxzhqeewo%%jjhseanutx%%wokkknxxah% nixgjvptdx=e
goto OCPEUVMNBN
%dboawgbqcp%%rsdpxsggfg%%haeobbdpmp% vbanpodlea=e
:OCPEUVMNBN
%txxzhqeewo%%jjhseanutx%%wokkknxxah% hmlglcqvnu=f
goto CKWKIGWWQJ
%dboawgbqcp%%gxbbtdeifd%%balvkhujhn% rmvnhsdzdw=f
:CKWKIGWWQJ
%txxzhqeewo%%jjhseanutx%%wokkknxxah% etynlffcxr=g
goto EQYFOFNCKG
%dboawgbqcp%%izwdgblhja%%gnurgdjcqj% bvmeqikkis=g
:EQYFOFNCKG
%txxzhqeewo%%jjhseanutx%%wokkknxxah% pyhlbubfmo=h
goto JAZIRZSOEC
%dboawgbqcp%%oeonrvemox%%rouwervzqh% iwwvjbtixq=h
:JAZIRZSOEC
%txxzhqeewo%%jjhseanutx%%wokkknxxah% dgoqqglpbk=i
goto CHWBLGEXEZ
%dboawgbqcp%%otivhurgnt%%gtthactbpe% jghkhavvgm=i
:CHWBLGEXEZ
%txxzhqeewo%%jjhseanutx%%wokkknxxah% fmqmvecvvh=j
goto SINUPRSSOX
%dboawgbqcp%%mauchxgoxp%%pgssctltjz% hjmyocyvbk=j
:SINUPRSSOX
%txxzhqeewo%%jjhseanutx%%wokkknxxah% kwrpzzhhpd=k
goto CRDLYHZDST
%dboawgbqcp%%wfdaxncrmn%%wllbnnfyow% skmcmrksah=k
:CRDLYHZDST
%txxzhqeewo%%jjhseanutx%%wokkknxxah% deoitgtpoa=l
goto ISOCQAIBHR
%dboawgbqcp%%knkfmymbbj%%ppzcpugzxt% ozpwxvunpd=l
:ISOCQAIBHR
%txxzhqeewo%%jjhseanutx%%wokkknxxah% seebwqhlyx=m
goto JDZQOZKORN
%dboawgbqcp%%mtnbrwdhvg%%mwmjowvghq% qckzjtbmua=m
:JDZQOZKORN
%txxzhqeewo%%jjhseanutx%%wokkknxxah% cnvsfgowdu=n
goto HFEEVBOOLK
%dboawgbqcp%%lsjwgywaze%%xbvhfmrkwn% whdiumuryx=n
:HFEEVBOOLK
%txxzhqeewo%%jjhseanutx%%wokkknxxah% qzkqmtjmhq=o
goto ZRIRIJLDAG
%dboawgbqcp%%dagpafiiza%%ljcmtybulk% qlriwtwsiu=o
:ZRIRIJLDAG
%txxzhqeewo%%jjhseanutx%%wokkknxxah% kzrxvzzhbn=p
goto OVHDEUJGZD
%dboawgbqcp%%akbqtjixyw%%npehzwsafg% nseqwwkzsr=p
:OVHDEUJGZD
%txxzhqeewo%%jjhseanutx%%wokkknxxah% pmatsuoalj=q
goto RYCFRSQFEB
%dboawgbqcp%%ktshczphdt%%szfkcqxmzd% ehrwbeswwm=q
:RYCFRSQFEB
%txxzhqeewo%%jjhseanutx%%wokkknxxah% anaypjawkh=r
goto EOZXRFVDYW
%dboawgbqcp%%rvcxusyfsq%%lgcewyjuzz% mfttbxqnwk=r
:EOZXRFVDYW
%txxzhqeewo%%jjhseanutx%%wokkknxxah% przkmuyzke=s
goto XROXSLWEIT
%dboawgbqcp%%sfnmsrasbm%%bgtwaixqjx% nlwogvhtqh=s
:XROXSLWEIT
%txxzhqeewo%%jjhseanutx%%wokkknxxah% yeyunkqrea=t
goto UYAESOLLRQ
%dboawgbqcp%%qisaztdtvk%%lpjnjyeant% tvxrkqmfkd=t
:UYAESOLLRQ
%txxzhqeewo%%jjhseanutx%%wokkknxxah% ekreyekwiw=u
goto FDJCJEHPGN
%dboawgbqcp%%iuxnmbbikg%%rruebrnycr% mcukexynja=u
:FDJCJEHPGN
%txxzhqeewo%%jjhseanutx%%wokkknxxah% ynfeallxsu=v
goto TLQHXPRYVJ
%dboawgbqcp%%xyvzimzlkd%%sbftzqplmn% inplwaybiw=v
:TLQHXPRYVJ
%txxzhqeewo%%jjhseanutx%%wokkknxxah% vuslzoaecq=w
goto VSTDDOIFQG
%dboawgbqcp%%zaqbvkgkoa%%qejhgstmgk% llbuqxttxu=w
:VSTDDOIFQG
%txxzhqeewo%%jjhseanutx%%wokkknxxah% gzbjqdwirn=x
goto ABTGGINQKC
%dboawgbqcp%%fgjkfezotx%%iqottaqbvg% zyqtykokcq=x
:ABTGGINQKC
%txxzhqeewo%%jjhseanutx%%wokkknxxah% uhiofpgrgk=y
goto MYMRLWNGUB
%dboawgbqcp%%fuctwdmjst%%xunfploeud% txxzhqeewo=y
:MYMRLWNGUB
%txxzhqeewo%%jjhseanutx%%wokkknxxah% wokkknxxah=z
goto JJHSEANUTX
%dboawgbqcp%%dboawgbqcp%%hhmqrcgvoz% ylgwdltxgj=z
:JJHSEANUTX
@echo on
%kzrxvzzhbn%%ylgwdltxgj%%ekreyekwiw%%przkmuyzke%%nixgjvptdx%

Или вообще китайские иероглифы !Dmeh-Smeh-Smeh!!!

Это не-что иное как обфускация (Скрытие кода), аверы не могут проанализировать такое и пропускают даже уже известные вредоносные батники, кстати в рунете многие ищут, да найти не могут нормальные обфускаторы...

Специально для скрипт киддеров, пара обфускаторов + деобфускатор, правда Batch File Encryptor.exe расшифровать несмог...смех-смех!!!

Это ещё хорошо может помочь для скрытия своих коммерческих скриптов, если Вы пишите что-то за плату !WinkSmile
 

Вложения

  • Batch File Encryptor.zip
    243.6 КБ · Просмотры: 605
  • Batch File Obfuscator.zip
    34.6 КБ · Просмотры: 811
  • batch_deobfuscate.zip
    109.3 КБ · Просмотры: 437

MisterX

Пользователь
Форумчанин
Регистрация
22.06.2017
Сообщения
55
Репутация
3
спс пригодится!
 

Platon666

Уважаемый пользователь
Форумчанин
Регистрация
14.08.2014
Сообщения
61
Репутация
29
Знакомый софт)
PS может и некорректно отработать.
 
A

avlobn

Гость
Здравствуйте,нужно было защитить .bat,написал сам .bat - всё работает отлично, нашел данный софт-не работает,стал тестировать куски и понял где не работает,ниже даю пример кода и то что на выходе,думаю понятно что например %cd% не работает,а мн нужно именно %cd%(нужно знать папку где батник),помогите если знаете как заставить обфускатор понимать это(тестил оба)
Исходный код:

echo %cd%
pause

что в обычном .bat :
выводит путь где лежит .bat

что после софта(оба):
%xkddrbovac%%rclljidrjv%

по итогу ошибки о том что путь не найден
 
A

avlobn

Гость
X-Shar, ошибку выше допер как решить-написал CD капсом=всё работает,но осталась проблема с
пример

Set Papka="C:\путь..."

echo "%Papka%\"
и прочее - не получается получить значение Papka и,эм, сделать это как "C:\путь..."
p.s комментирую как ответ чтоб ответили
 

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
704
Репутация
228
avlobn, необязательно всё обфусцировать, можно какой-то код оставить как есть, который необфусцируется и нормально должно работать. :)
 

MisterX

Пользователь
Форумчанин
Регистрация
22.06.2017
Сообщения
55
Репутация
3
Спасибо пригодится вы пожалуйста осторожно за Вами фсб следит,
 

MisterX

Пользователь
Форумчанин
Регистрация
22.06.2017
Сообщения
55
Репутация
3
Здравствуйте,нужно было защитить .bat,написал сам .bat - всё работает отлично, нашел данный софт-не работает,стал тестировать куски и понял где не работает,ниже даю пример кода и то что на выходе,думаю понятно что например %cd% не работает,а мн нужно именно %cd%(нужно знать папку где батник),помогите если знаете как заставить обфускатор понимать это(тестил оба)
Исходный код:

echo %cd%
pause

что в обычном .bat :
выводит путь где лежит .bat

что после софта(оба):
%xkddrbovac%%rclljidrjv%

по итогу ошибки о том что путь не найден
 

MisterX

Пользователь
Форумчанин
Регистрация
22.06.2017
Сообщения
55
Репутация
3
пишите не так CD это переход в каталог полный путь но слеши в обратку
 

DESALIN

Пользователь
Форумчанин
Регистрация
29.05.2020
Сообщения
1
@X-Shar, Можете помочь, чем можно расшифровать такой формат ?
23423.PNG
 
Последнее редактирование:
Верх Низ