|
Как в hllp вирусе неизменять иконки жертв?
|
|
XDXDXD
|
Дата: Среда, 22.02.2012, 20:29 | Сообщение # 1
|
Новичок
Зарегистрирован: 16.10.2010
Группа: Пользователи
Сообщений: 4
Статус: Offline
|
заражаемые файлы палятся. Как неизменять иконки заражаемых файлов?
XP
|
| |
|
|
|
|
|
sk0rpi0n
|
Дата: Четверг, 23.02.2012, 13:33 | Сообщение # 2
|
Участник
Зарегистрирован: 28.05.2011
Группа: Пользователи
Сообщений: 65
Статус: Offline
|
Я ничего не понял.
UPD: Нужно, чтобы иконки оставались прежними что-ли?
C++ - попса :D
Сообщение отредактировал sk0rpi0n - Четверг, 23.02.2012, 13:34
|
| |
|
|
|
|
|
XDXDXD
|
Дата: Четверг, 23.02.2012, 16:21 | Сообщение # 3
|
|
Новичок
Зарегистрирован: 16.10.2010
Группа: Пользователи
Сообщений: 4
Статус: Offline
|
ДА!
XP
|
| |
|
|
|
|
|
dolphin
|
Дата: Четверг, 23.02.2012, 18:22 | Сообщение # 4
|
Администратор
Сообщений: 903
Статус: Offline
|
Если хочешь чтобы иконка не менялась то нужно поменять способ заражения, например вставить дополнительную секцию тут это было https://delfcode.ru/forum/10-324-1
Система: Windows 10 x64, Windows XP
Среды программирования: Delphi 7, Delphi 10 Seattle
Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
|
| |
|
|
|
|
|
Гнилушка
|
Дата: Четверг, 29.10.2015, 15:09 | Сообщение # 5
|
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
|
Нужно искать смещение иконки в файле.
Совсем сайт сгнил ;( Одни крысы тут сидят.
|
| |
|
|
|
|
|
Гнилушка
|
Дата: Пятница, 30.10.2015, 16:50 | Сообщение # 6
|
|
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
|
Эй, здесь вообще кто нибуть бывае? Давайте продолжим обсуждение, мне интересно у кого нибудь получилось бы написать неизменяюший вирус?
Совсем сайт сгнил ;( Одни крысы тут сидят.
|
| |
|
|
|
|
|
Slash
|
Дата: Суббота, 31.10.2015, 01:09 | Сообщение # 7
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
|
Цитата Гнилушка ( )
Нужно искать смещение иконки в файле.
Или писать себя в конец и менять точку входа.
А еще можно на зараженный файл без иконки цеплять предварительно вытянутую и считанную в память иконку до заражения.
|
| |
|
|
|
|
|
Гнилушка
|
Дата: Суббота, 31.10.2015, 20:28 | Сообщение # 8
|
|
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
|
Цитата Slash ()
А еще можно на зараженный файл без иконки цеплять предварительно вытянутую и считанную в память иконку до заражения.
А если фреймов в иконке несколько? Это будет очень заморочно. Ты умеешь находить смещение в exe? Чтобы записывать иконку без UpdateResource
Совсем сайт сгнил ;( Одни крысы тут сидят.
|
| |
|
|
|
|
|
Slash
|
Дата: Суббота, 31.10.2015, 22:15 | Сообщение # 9
|
|
Постоянный
Зарегистрирован: 20.12.2012
Группа: Пользователи
Сообщений: 161
Статус: Offline
|
Цитата Гнилушка ()
А если фреймов в иконке несколько? Это будет очень заморочно. Ты умеешь находить смещение в exe? Чтобы записывать иконку без UpdateResource
Неа, да, с фреймами проблема. Вирусы типа Neshta палятся как раз этим - иконка стает низкого качества.
|
| |
|
|
|
|
|
Гнилушка
|
Дата: Суббота, 31.10.2015, 23:32 | Сообщение # 10
|
|
Был не раз
Зарегистрирован: 29.10.2015
Группа: Пользователи
Сообщений: 6
Статус: Offline
|
Нешта-примитивный и тупой вирус, но если добавлять доп. секцию как десь https://delfcode.ru/forum/10-324-1, файл портится 
Совсем сайт сгнил ;( Одни крысы тут сидят.
|
| |
|
|
