WgBinder 1.5 by Decide
decide
Дата: Четверг, 19.06.2014, 09:02 | Сообщение # 1
Был не раз
Зарегистрирован: 29.05.2014
Группа: Пользователи
Сообщений: 17
Статус: Offline
http://wg.do.am/wg.png
Выкладываю свой биндер!На данный момент палится только авирой
dolphin
Дата: Четверг, 19.06.2014, 13:22 | Сообщение # 2
Администратор
Сообщений: 902
Статус: Offline
Не помешало хотя бы минимальное описание приложить
Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
JohnnyDepp
Дата: Вторник, 01.07.2014, 19:51 | Сообщение # 3
Новичок
Зарегистрирован: 01.07.2014
Группа: Пользователи
Сообщений: 2
Статус: Offline
decide , ты и тут свою заразу распространяешь!?Админы проверьте файл (смотрите процесс lasse.exe),этого козла уже на всех ресурсах забанили.
Сообщение отредактировал JohnnyDepp - Вторник, 01.07.2014, 19:52
xXxSh@dowxXx
Дата: Вторник, 01.07.2014, 22:24 | Сообщение # 4
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Цитата decide ( )
Выкладываю свой биндер!На данный момент палится только авирой
по мимо того что нет описания, так еще и не исходниками выложил, а готовым бинарником, логично что ни кто даже смотреть не станет!
Anton93
Дата: Вторник, 01.07.2014, 23:02 | Сообщение # 5
Продвинутый
Зарегистрирован: 06.01.2010
Группа: Модераторы
Сообщений: 320
Статус: Offline
не дезассмблировал пока, но судя по скану который сделал, там что-то есь
Scan result
ICQ: 41896
Neo
Дата: Пятница, 04.07.2014, 17:17 | Сообщение # 6
Модератор
Зарегистрирован: 04.05.2010
Группа: Модераторы
Сообщений: 316
Статус: Offline
decide , Продизассемблировал я твой бинарник, ничего интересного....Что за вообще биндер???Может билдер??? Если билдер,что он ничего сам не должен запускать....А вот взглянем на это:
Код
call CreateFileW
.text:004195A4 mov esi, eax
.text:004195A6 push 0 ; lpOverlapped
.text:004195A8 lea eax, [ebp+NumberOfBytesWritten]
.text:004195AB push eax ; lpNumberOfBytesWritten
.text:004195AC push ebx ; hResInfo
.text:004195AD push 0 ; hModule
.text:004195AF call SizeofResource
.text:004195B4 push eax ; nNumberOfBytesToWrite
.text:004195B5 push ebx ; hResInfo
.text:004195B6 push 0 ; hModule
.text:004195B8 call LoadResource
.text:004195BD push eax ; hResData
.text:004195BE call LockResource
.text:004195C3 push eax ; lpBuffer
.text:004195C4 push esi ; hFile
.text:004195C5 [b] call WriteFile[/b]_0
.text:004195CA push esi ; hObject
.text:004195CB call CloseHandle_0
.text:004195D0 mov eax, [ebp+var_14]
.text:004195D3 mov edx, offset dword_419728
.text:004195D8 call sub_405D80
.text:004195DD jnz short loc_4195E7
.text:004195DF push 2 ; dwFileAttributes
.text:004195E1 push edi ; lpFileName
.text:004195E2 [b] call SetFileAttributesW[/b]
.text:004195E7
.text:004195E7 loc_4195E7: ; CODE XREF: sub_41946C+171j
.text:004195E7 mov eax, [ebp+var_C]
.text:004195EA mov edx, offset aNormal ; "normal"
.text:004195EF call sub_405D80
.text:004195F4 jnz short loc_41960B
.text:004195F6 push 1 ; nShowCmd
.text:004195F8 push 0 ; lpDirectory
.text:004195FA push 0 ; lpParameters
.text:004195FC push edi ; lpFile
.text:004195FD [b] push offset Operation ; "open"[/b]
.text:00419602 push 0 ; hwnd
.text:00419604 [b]call ShellExecuteW[/b]
.text:00419609 jmp short loc_41961E
По этому куску можно определить следующее:
1) твоя прога извлекает из ресурса exeшник
2) записывает его и выставляет атрибут для файла
3) запускает его.
Твои ошибки:
я сразу понял,что в ресурсе спрятан exe по синтатуре MZ....PE.\
Нужно криптовать ресурсы! А после записи расшифровывать их.
xXxSh@dowxXx
Дата: Пятница, 04.07.2014, 17:48 | Сообщение # 7
Авторитетный
Зарегистрирован: 22.01.2012
Группа: Модераторы
Сообщений: 702
Статус: Offline
Neo красавец, хорошая работа