Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | |
пожалуйста 27.04.03 23:29 Число просмотров: 1108
Автор: vh <Дмитрий> Статус: Member
|
> Идея неплоха, но если прога вылетит, и не вернет обратно РЕ > заголовок, первый файл больше не когда не получит > управления. чего?
опять ничего не понял. Объясни пожалуйста по шагам, кто кого запускает и кто откуда запускается что возвращает. Я же не могу читать твои мысли :)
>Может у кого есть исходник вируса , который
> заражает Win32 файлы? вот с этого бы сразу и начинал :)
на z0mbie.host.sk как всегда есть почти все...там же содержится элементарный вирус (хотя на мой взгляд его можно было и еще более упростить для наглядности, но это дело автора. В принципе он довольно не плох для обучения) в исходниках с некоторыми комментариями.
Но одного его мне не хватило чтобы понять весь механизм заражения.
Почитай статьи на http://sbvc.cjb.net/ по написанию простейших вирусов под win32.
если будут вопросы - спрашивай.
|
<programming>
|
[Win32] ЕХЕ, 2 в 1 25.04.03 22:46
Автор: freeExec Статус: Незарегистрированный пользователь
|
Видел как в одном ЕХЕ файле было "склеено" несколько ЕХЕ файлов подрят. Каким образом запустить второй файл не сохраняя его на диск?
Может можно как-то использовать ключ /STUB при компиляции, но ему почему-то не передается управление :(
А то вручную испровлять ссылки на таблицу импорта гиморно.
|
|
а что если начальный адрес поменять? 26.04.03 00:57
Автор: vh <Дмитрий> Статус: Member
|
|
| |
а что если начальный адрес поменять? 26.04.03 10:17
Автор: freeExec Статус: Незарегистрированный пользователь
|
А кто будет табличу импотра заполнять, мне в ручнюя влом. Да и RVA секции c offset'ом не совподают :(
|
| | |
объясни точно каким образом файлы склеиваются 26.04.03 15:14
Автор: vh <Дмитрий> Статус: Member
|
а то ведь не понятно вообще об каких условиях надо думать.
есть файло из двух прог....при запуске запускается первая, так?
куда суется вторая? в дополнительную секцию, чтоли?
|
| | | |
объясни точно каким образом файлы склеиваются 26.04.03 23:10
Автор: freeExec Статус: Незарегистрированный пользователь
|
Просто склеены "copy file1 file2+file3", ну и подправлена( добавлена) секция, чтобы он попал в память.
|
| | | | |
попробуй это... 27.04.03 21:19
Автор: vh <Дмитрий> Статус: Member Отредактировано 27.04.03 21:27 Количество правок: 1
|
идейка небольшая...
меняешь в досовской заголовке - Offset to PE Header на адрес той секции где находится второй файл, и делаешь простой CreateProcess..
другой вопрос, как ты будешь вносить изменения в открытый файл.. :)
подожди...уточни откуда ты хочешь запустить второй файл? (я так понял что из загруженного первого)
|
| | | | | |
попробуй это... 27.04.03 22:41
Автор: freeExec Статус: Незарегистрированный пользователь
|
Идея неплоха, но если прога вылетит, и не вернет обратно РЕ заголовок, первый файл больше не когда не получит управления. Может у кого есть исходник вируса , который заражает Win32 файлы?
|
| | | | | | |
пожалуйста 27.04.03 23:29
Автор: vh <Дмитрий> Статус: Member
|
> Идея неплоха, но если прога вылетит, и не вернет обратно РЕ > заголовок, первый файл больше не когда не получит > управления. чего?
опять ничего не понял. Объясни пожалуйста по шагам, кто кого запускает и кто откуда запускается что возвращает. Я же не могу читать твои мысли :)
>Может у кого есть исходник вируса , который
> заражает Win32 файлы? вот с этого бы сразу и начинал :)
на z0mbie.host.sk как всегда есть почти все...там же содержится элементарный вирус (хотя на мой взгляд его можно было и еще более упростить для наглядности, но это дело автора. В принципе он довольно не плох для обучения) в исходниках с некоторыми комментариями.
Но одного его мне не хватило чтобы понять весь механизм заражения.
Почитай статьи на http://sbvc.cjb.net/ по написанию простейших вирусов под win32.
если будут вопросы - спрашивай.
|
| | | | | | | |
пожалуйста 28.04.03 11:52
Автор: freeExec Статус: Незарегистрированный пользователь
|
Объясняю: Есть 2 файла. Первый - большой, который я не могу изменить. Другой мой, и сним я могу делать все, что угодно.
Задача: из моего файла запустить первый. Оба они должны быть в одном ЕХЕ файле. Полностью эмулировать загрузчик не выход.
ЗЫ. Вообщем я переписал прогу, оставив в ней всего 2 импортированных функции: LoadLibraryA & GetProcAddres. Теперь проблема в другом: как заставить линковщик, для каждой секции назначить RVA самому, или можно изменить только ImageBase?
|
| | | | |
объясни точно каким образом файлы склеиваются 27.04.03 14:10
Автор: amirul <Serge> Статус: The Elderman
|
> Просто склеены "copy file1 file2+file3", ну и подправлена( > добавлена) секция, чтобы он попал в память. Нереально. Как минимум надо настроить таблицу импортов и фиксапов (если есть). Потом, конечно можно передавать туда управление, но даже не представляю на фига такое может понадобиться.
Вообще-то я делал лоадер, который запускается, распаковывает/расшифровывает из секции данных другой exe-шник по тому же ImageBase, перенастраивает все таблицы и переходит на EntryPoint, но простым copy file1 + file2 file3 там не ограничивалась. Была специальная прога, которая по необходимому экзешнику создавала шифрованный.
|
|
|