Прячем вирус в файл ЛЮБОГО типа

Статус
В этой теме нельзя размещать новые ответы.
a47e412565f03176a355f.png


И так, нам понадобится
  • Winrar Archiver
  • JPG
  • HxD Hex Editor
Следуйте нашим шагам:
1. Устанавливаем HxD и кидаем его иконку в папку с вирусом
DSj-AJj-OF-38.jpg

2. Берем вирус и архивируем его, с настройками никаких траблов, просто заархивируйте в Zip формат.
c6-HYFo-Mm-Un0.jpg

3. Теперь берем этот самый Архив и перетаскиваем его на иконку HxD
2llf-Ooma-NAU.jpg

4. Открывается вот такое окно, где мы видим весь код, тут идем во вкладку Search > Find или жмем Ctrl+F
s6-L4l-Hj-VJBY.jpg

5. Пишем в окно поиска "Полное название вашего вируса.exe"
Ищем, он найдет 2 записи, одно в самом низу другое сверху кода, нам нужно нижнее значение, так что не перепутайте, тут меняем exe на то расширение которое нужно, я поменял на Jpg
Ub-Ra-MGQa-Sh-Q.jpg

6. Теперь сохраняем все это, и открываем наш архив, и видим вот такую картину
89-W51-ATZ5-XI.jpg

Как видите отображается .jpg, рядом во вкладке Type пишет что это Рисунок JPEG.

Данная статья написана в ознакомительном плане. Каждый несёт ответственность за использование материалов))
 

Talomir

Местный
Местный

Talomir

Местный
Местный
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
17
Лайки
333
А чё просто не переименовать расширение файла, без архива? Будет то-же самое, лучше - найти софт, который запускает реакцию системы на файл по MAGIC из содержимого файла, а не по расширению. А сам софт - регистрирует расширение в системе. Вот в его типы файлов вирь и переименовывать. Так не будет проблемы, что в архиве - одно расширение, а после распаковки - другое.

Получится: при клике на файл.ext стартует софт, анализирует файл, находит MAGIC 'exe' и запускает реакцию системы на этот MAGIC - запускается exe файл с расширением не exe, то есть вирь.

Посмотреть DLL функцию Windows анализа MAGIC файлов, и подобрать софт, использующий эту функцию. Вся работа!
 

Talomir

Местный
Местный

Talomir

Местный
Местный
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
17
Лайки
333

In files​

Main article: Для просмотра ссылки Войди или Зарегистрируйся

See also: Для просмотра ссылки Войди или Зарегистрируйся

Magic numbers are common in programs across many operating systems. Magic numbers implement Для просмотра ссылки Войди или Зарегистрируйся data and are a form of Для просмотра ссылки Войди или Зарегистрируйся to the controlling program that reads the data type(s) at program run-time. Many files have such constants that identify the contained data. Detecting such constants in files is a simple and effective way of distinguishing between many Для просмотра ссылки Войди или Зарегистрируйся and can yield further run-time Для просмотра ссылки Войди или Зарегистрируйся.

Examples
Detection
The Unix utility program Для просмотра ссылки Войди или Зарегистрируйся can read and interpret magic numbers from files, and the file which is used to parse the information is called magic. The Windows utility TrID has a similar purpose.
 

Bupyc_ Plus

on the threshold to a new perception
Администратор

Bupyc_ Plus

on the threshold to a new perception
Администратор
Статус
Offline
Регистрация
14 Мар 2021
Сообщения
862
Лайки
997

In files​

Main article: Для просмотра ссылки Войди или Зарегистрируйся

See also: Для просмотра ссылки Войди или Зарегистрируйся

Magic numbers are common in programs across many operating systems. Magic numbers implement Для просмотра ссылки Войди или Зарегистрируйся data and are a form of Для просмотра ссылки Войди или Зарегистрируйся to the controlling program that reads the data type(s) at program run-time. Many files have such constants that identify the contained data. Detecting such constants in files is a simple and effective way of distinguishing between many Для просмотра ссылки Войди или Зарегистрируйся and can yield further run-time Для просмотра ссылки Войди или Зарегистрируйся.

Examples
Detection
The Unix utility program Для просмотра ссылки Войди или Зарегистрируйся can read and interpret magic numbers from files, and the file which is used to parse the information is called magic. The Windows utility TrID has a similar purpose.
На родном можно) не все могут в English 😂
 

Talomir

Местный
Местный

Talomir

Местный
Местный
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
17
Лайки
333
_Вирус, на родном не было ответа в нете. Всё, почти всё нашёл, 10 минут заняло.

Функция из Urlmon.dll, называемая FindMimeFromData(), определяет тип файла по магическому числу. То есть если file.png содержит магическое число EXE файла, FindMimeFromData() вернёт тип 'Executable'.

Для написания описанного мной выше вируса достаточно найти, в папке Windows, или в интернете, программы, использующие FindMimeFromData() при открытии файла. Под расширение такой программы EXE и маскировать - переименовывать .EXE в что-то типа .EXT

Я специально не публикую список уязвимых программ, чтобы эту уязвимость не закрыли - кому интересно или надо - дерзайте, я давно уже не пишу вирусы....
 

Bupyc_ Plus

on the threshold to a new perception
Администратор

Bupyc_ Plus

on the threshold to a new perception
Администратор
Статус
Offline
Регистрация
14 Мар 2021
Сообщения
862
Лайки
997

NemoOutis

Новорег

NemoOutis

Новорег
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
0
Лайки
0
А если через виртуалку то как?
 

Talomir

Местный
Местный

Talomir

Местный
Местный
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
17
Лайки
333
А если через виртуалку то как?

На виртуалке - так-же, и расчёт чёрного ястреба на клик по содержимому zip архива может сработать, с маскировкой исполняемого файла под картинку, и реакция программы на MAGIC внутри файла данных, как я описал. Поведение вируса на виртуалке почти не отличается от поведения вируса на host системе.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху