Четверг, 21.06.2018, 07:17 Приветствую вас Гость | Группа "Гости" 


[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Волк-1024, Anton93, xXxSh@dowxXx  
delfcode » Delphi » Вирусология Delphi » Как в hllp вирусе неизменять иконки жертв? (заражаемые файлы палятся)
Как в hllp вирусе неизменять иконки жертв?
XDXDXDДата: Среда, 22.02.2012, 20:29 | Сообщение # 1
Новичок
Зарегистрирован: 16.10.2010
Группа: Пользователи
Сообщений: 4
Статус: Offline
заражаемые файлы палятся. Как неизменять иконки заражаемых файлов?

XP
 
sk0rpi0nДата: Четверг, 23.02.2012, 13:33 | Сообщение # 2
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
Я ничего не понял.

UPD: Нужно, чтобы иконки оставались прежними что-ли?


C++ - попса :D

Сообщение отредактировал sk0rpi0n - Четверг, 23.02.2012, 13:34
 
XDXDXDДата: Четверг, 23.02.2012, 16:21 | Сообщение # 3
Новичок
Зарегистрирован: 16.10.2010
Группа: Пользователи
Сообщений: 4
Статус: Offline
ДА!

XP
 
dolphinДата: Четверг, 23.02.2012, 18:22 | Сообщение # 4
Администратор
Сообщений: 902
Статус: Offline
Если хочешь чтобы иконка не менялась то нужно поменять способ заражения, например вставить дополнительную секцию тут это было http://delfcode.ru/forum/10-324-1

Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
ГнилушкаДата: Четверг, 29.10.2015, 15:09 | Сообщение # 5
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
Нужно искать смещение иконки в файле.

Совсем сайт сгнил ;( Одни крысы тут сидят.
 
ГнилушкаДата: Пятница, 30.10.2015, 16:50 | Сообщение # 6
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
Эй, здесь вообще кто нибуть бывае? Давайте продолжим обсуждение, мне интересно у кого нибудь получилось бы написать неизменяюший вирус?

Совсем сайт сгнил ;( Одни крысы тут сидят.
 
SlashДата: Суббота, 31.10.2015, 01:09 | Сообщение # 7
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
Цитата Гнилушка ()
Нужно искать смещение иконки в файле.

Или писать себя в конец и менять точку входа.
А еще можно на зараженный файл без иконки цеплять предварительно вытянутую и считанную в память иконку до заражения.
 
ГнилушкаДата: Суббота, 31.10.2015, 20:28 | Сообщение # 8
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
Цитата Slash ()
А еще можно на зараженный файл без иконки цеплять предварительно вытянутую и считанную в память иконку до заражения.


А если фреймов в иконке несколько? Это будет очень заморочно. Ты умеешь находить смещение в exe? Чтобы записывать иконку без UpdateResource


Совсем сайт сгнил ;( Одни крысы тут сидят.
 
SlashДата: Суббота, 31.10.2015, 22:15 | Сообщение # 9
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
Цитата Гнилушка ()
А если фреймов в иконке несколько? Это будет очень заморочно. Ты умеешь находить смещение в exe? Чтобы записывать иконку без UpdateResource

Неа, да, с фреймами проблема. Вирусы типа Neshta палятся как раз этим - иконка стает низкого качества.
 
ГнилушкаДата: Суббота, 31.10.2015, 23:32 | Сообщение # 10
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
Нешта-примитивный и тупой вирус, но если добавлять доп. секцию как десь http://delfcode.ru/forum/10-324-1, файл портится wacko

Совсем сайт сгнил ;( Одни крысы тут сидят.
 
delfcode » Delphi » Вирусология Delphi » Как в hllp вирусе неизменять иконки жертв? (заражаемые файлы палятся)
  • Страница 1 из 1
  • 1
Поиск:

delfcode.ru © 2008 - 2018 Хостинг от uCoz