• Читаемое за неделю
  • Последние ответы
  • Новые темы

Прячем вирус в файл ЛЮБОГО типа

a47e412565f03176a355f.png


И так, нам понадобится
  • Winrar Archiver
  • JPG
  • HxD Hex Editor
Следуйте нашим шагам:
1. Устанавливаем HxD и кидаем его иконку в папку с вирусом
DSj-AJj-OF-38.jpg

2. Берем вирус и архивируем его, с настройками никаких траблов, просто заархивируйте в Zip формат.
c6-HYFo-Mm-Un0.jpg

3. Теперь берем этот самый Архив и перетаскиваем его на иконку HxD
2llf-Ooma-NAU.jpg

4. Открывается вот такое окно, где мы видим весь код, тут идем во вкладку Search > Find или жмем Ctrl+F
s6-L4l-Hj-VJBY.jpg

5. Пишем в окно поиска "Полное название вашего вируса.exe"
Ищем, он найдет 2 записи, одно в самом низу другое сверху кода, нам нужно нижнее значение, так что не перепутайте, тут меняем exe на то расширение которое нужно, я поменял на Jpg
Ub-Ra-MGQa-Sh-Q.jpg

6. Теперь сохраняем все это, и открываем наш архив, и видим вот такую картину
89-W51-ATZ5-XI.jpg

Как видите отображается .jpg, рядом во вкладке Type пишет что это Рисунок JPEG.

Данная статья написана в ознакомительном плане. Каждый несёт ответственность за использование материалов))
 

Talomir

Местный
Местный

Talomir

Местный
Местный
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
12
Реакции
201
А чё просто не переименовать расширение файла, без архива? Будет то-же самое, лучше - найти софт, который запускает реакцию системы на файл по MAGIC из содержимого файла, а не по расширению. А сам софт - регистрирует расширение в системе. Вот в его типы файлов вирь и переименовывать. Так не будет проблемы, что в архиве - одно расширение, а после распаковки - другое.

Получится: при клике на файл.ext стартует софт, анализирует файл, находит MAGIC 'exe' и запускает реакцию системы на этот MAGIC - запускается exe файл с расширением не exe, то есть вирь.

Посмотреть DLL функцию Windows анализа MAGIC файлов, и подобрать софт, использующий эту функцию. Вся работа!
 

Talomir

Местный
Местный

Talomir

Местный
Местный
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
12
Реакции
201

In files​

Main article:

See also:

Magic numbers are common in programs across many operating systems. Magic numbers implement data and are a form of to the controlling program that reads the data type(s) at program run-time. Many files have such constants that identify the contained data. Detecting such constants in files is a simple and effective way of distinguishing between many and can yield further run-time .

Examples
Detection
The Unix utility program can read and interpret magic numbers from files, and the file which is used to parse the information is called magic. The Windows utility TrID has a similar purpose.
 

Bupyc_ Plus

on the threshold to a new perception))
Администратор

Bupyc_ Plus

on the threshold to a new perception))
Администратор
Статус
Offline
Регистрация
14 Мар 2021
Сообщения
354
Реакции
504

In files​

Main article:

See also:

Magic numbers are common in programs across many operating systems. Magic numbers implement data and are a form of to the controlling program that reads the data type(s) at program run-time. Many files have such constants that identify the contained data. Detecting such constants in files is a simple and effective way of distinguishing between many and can yield further run-time .

Examples
Detection
The Unix utility program can read and interpret magic numbers from files, and the file which is used to parse the information is called magic. The Windows utility TrID has a similar purpose.
На родном можно) не все могут в English 😂
 

Talomir

Местный
Местный

Talomir

Местный
Местный
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
12
Реакции
201
_Вирус, на родном не было ответа в нете. Всё, почти всё нашёл, 10 минут заняло.

Функция из Urlmon.dll, называемая FindMimeFromData(), определяет тип файла по магическому числу. То есть если file.png содержит магическое число EXE файла, FindMimeFromData() вернёт тип 'Executable'.

Для написания описанного мной выше вируса достаточно найти, в папке Windows, или в интернете, программы, использующие FindMimeFromData() при открытии файла. Под расширение такой программы EXE и маскировать - переименовывать .EXE в что-то типа .EXT

Я специально не публикую список уязвимых программ, чтобы эту уязвимость не закрыли - кому интересно или надо - дерзайте, я давно уже не пишу вирусы....
 

Bupyc_ Plus

on the threshold to a new perception))
Администратор

Bupyc_ Plus

on the threshold to a new perception))
Администратор
Статус
Offline
Регистрация
14 Мар 2021
Сообщения
354
Реакции
504

NemoOutis

Новорег

NemoOutis

Новорег
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
0
Реакции
0
А если через виртуалку то как?
 

Talomir

Местный
Местный

Talomir

Местный
Местный
Статус
Offline
Регистрация
20 Мар 2021
Сообщения
12
Реакции
201
А если через виртуалку то как?

На виртуалке - так-же, и расчёт чёрного ястреба на клик по содержимому zip архива может сработать, с маскировкой исполняемого файла под картинку, и реакция программы на MAGIC внутри файла данных, как я описал. Поведение вируса на виртуалке почти не отличается от поведения вируса на host системе.
 

Сверху