Всем привет. Писал тут небольшой сканер файлов. И с удивлением для себя обнаружил, что многие exe как матрешки нашпигованы PE заголовками. То есть несколько файлов объединены последовательно друг за другом.
Ладно таким страдают всякие джойнеры, но нет вполне себе уважаемые программы. Есть идеи с какой практической целью такое делается???

| Сообщение посчитали полезным:

morgot пишет:
difexacaw
Да это психбольной sty/dma, у него каждый акк в минуса уходит. Не обращайте внимания на идиота.

Началось, виртуальная атака клонов.
И знаете почему это несложно вычислить?
Потому, что грубо, топорно и тупо.
Ну или вы, действительно, очень сильно схожи,
в том числе и по "интеллекту".
А "интеллектуалов", говорят, к друг другу притягивает.

P.S. Видно, хорошо я кому-то "на больной мозоль наступил".
difexacaw, когда "овощам" ждать от вас объяснений: что же такое визор в вашем понимании?

| Сообщение посчитали полезным:

SDKМоя прога обнаруживает не сигнатуры, А валидный заголовок PE. Там его нет.

| Сообщение посчитали полезным:

zombi-vadim как разберётесь с той картинкой выковыряите демо и музыку сделаю еще парочку таких же,но чуть сложнее. в идеале вам надо взять полный список всех сигнатур из дие пейд ргд ехескоп может еще какие есть и всё это объеденить у нашего товарища Spirit-(а) был такой проект вот его вам надо найти или найти самого ( незнаю куда делись участника cracklab2006-08) переработать и будет нормально так же есть участник hors он тут был недавно у него можно взять много чего по сигнатурам к дие.

| Сообщение посчитали полезным:

zombi-vadim, хм, а что тут не валидного?

P.S. Музыку не искал, т.к. вручную лень, а парсер только PE файлы ищет...
P.S.S. Сама png картинка 14707 весит, а приклеенный zip 761.

| Сообщение посчитали полезным:

zombi-vadim пишет:
не сигнатуры, А валидный заголовок
это такой мастер
да хоть смешение+30067/1 это звук
хоть сигн 4D 5A 90 0x47f3 exe всё находится не ну внатуре

Добавлено спустя 1 минуту
Adler да даже длл нашел всё верно молодец.а музыка она в архиве с 50 4B начинается. плеер жрёт прям в архивах.761 байт)

| Сообщение посчитали полезным:

SDK пишет:
Adler да даже длл нашел молодец

Тю, что там ее искать, несколько десятков строк кода и все само находится.
Картинку таким же путем нашел (по сигнатурам и дальнейшем разборе хидера), а архив вручную (прога недописана, и zip искать не умеет)...

| Сообщение посчитали полезным:

Админы, этому клоуну нужно банов навалить, за заливку на форум малвари (живой семпл CIH v1.4.)





-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: SReg, difexacaw, DICI BF

OKOB пишет:
Админы, этому клоуну нужно банов навалить, за заливку на форум малвари (живой семпл CIH v1.4.)
мёртвый но хорошо что ты глазастый ,думаю тут 90% не знают что это даже . + его хрен запустишь даже под 9х если был жив. да и бан надо дать другому клоуну выше который замусоривает тему про повторяющийся pe в файле.

Добавлено спустя 3 минуты
OKOB кстати посмотри хоть куда я прикрутил код cff должен быть под рукой.

Добавлено спустя 6 минут
Adler пишет:
а архив вручную (прога недописана, и zip искать не умеет)...
вот и подскажи zombi-vadim-у куда ему копать программа уже у тебя есть.

| Сообщение посчитали полезным:

SDK пишет:
вот и подскажи zombi-vadim-у куда ему копать программа уже у тебя есть.
Та что там подсказывать, там все просто до неприличного, если нет никаких ухищрений с подменой/затиранием стандартных сигнатур. Структура PE файлов расписана детально и неоднократно, надо только нужные смещения вычитать, пару проверок сделать и размер файла посчитать.

| Сообщение посчитали полезным:

SDKДа я прошу прощения, я понял почему не находил. Не выровненная сигнатура. Два заголовка.
14775 и 18419 смещение.

Добавлено спустя 6 минут
Нормальный заголовок не может так располагаться.

| Сообщение посчитали полезным:

morgot

А как это сделано технически, если допустим ранг это функция числа сообщений, он растёт вверх. Значит акк как то помечен, раз ранг начал расти вниз. А значит есть функция связанная с акком, которая определяет знак(+/-) для ранга.

Добавлено спустя 5 минут
OKOB

> за заливку на форум малвари (живой семпл CIH v1.4.)

Так а где сам файл, я не вижу его. Откуда вы это взяли ?

Добавлено спустя 1 час 15 минут
SDK

Вас забанили ?
Но этого не видно по акк. Кто выложил сюда CIH ?
За такое действительно нужно забанить и сразу в перм!

-----
vx

| Сообщение посчитали полезным:

zombi-vadim пишет:
Нормальный заголовок не может так располагаться.
Да ну, с чего это? А вот этот байт не смущает (0x3c относительно начала)?

Или этот?


P.S. Для адресации используют hex значения, а не dec.

| Сообщение посчитали полезным:

Adler

Очень давно, наверно есчо на прошлом васм было. Отлаживались за день сотни семплов, в основном инфекторы. А думал что знаю там всё и никак ни инфектор ни эксплойт не может покинуть среду отладки. Из за такой самоуверенности даже перестал использовать вм. При отладке очередного семпла при трассировке вместо F8 нажал F9, произошёл запуск инфектора, весь хард был сразу уничтожен.

-----
vx

| Сообщение посчитали полезным:

Adler пишет:
Да ну, с чего это? Заголовок PE (IMAGE_NT_HEADERS) всегда выравнен на границу 8 байт.
Нельзя просто запихнуть кусок файла куда попало.

| Сообщение посчитали полезным:

zombi-vadim, ну как видите - можно. Не всегда практика соответствует теории при этом сохраняя работоспособность. Для того там и e_lfnew в Dos Header, что бы не полагаться на теорию...
P.S. Ладно он в dll не выровнен (4 байта), а в exe с ним все в порядке...

| Сообщение посчитали полезным:

difexacaw пишет:
А как это сделано технически, если допустим ранг это функция числа сообщений, он растёт вверх. Значит акк как то помечен, раз ранг начал расти вниз. А значит есть функция связанная с акком, которая определяет знак(+/-) для ранга.
Ничего там нигде не помечено.
Тебе уже вроде объясняли как это работает.
Ранг растёт от полезных/нейтральных постов.
Если пост удаляется модератором - ранг уменьшается.
Ты написал пост - получил рейтинг +1, пост выпилили - получил рейтинг -2 (по балансу -1: +1 за написанный -2 за удалённый, и того -1).
Что будет с рейтингом если количество выпиленных постов превышает информативные посчитай сам.

| Сообщение посчитали полезным: difexacaw

Я с вас ху*ю, всё уже разжёвано и понятно про PE формат, счас не начало 2000х что бы тупить, размер PE хидера не может превышать 1000 байт, считал смещение на PE сигнатуру и парси файл.......

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным: plutos

SDK пишет:
Молодой Человек вы думаете я вас обманываю?
Обычно да, но в этот раз выходка была просто глупая.

PE-формат расписан даже на оф сайте --> Link <--, а примеров парса его заголовков как грязи.

-----
2 оттенка серого

| Сообщение посчитали полезным: difexacaw

f13nd пишет:
PE-формат расписан даже на оф сайте --> Link <--, а примеров парса его заголовков как грязи
Меня все это порой очень удивляет. Откуда такая самоуверенность. Давайте решим небольшую задачку. Очень в принципе простую.
В файле два заголовка. Один в начале файла, второй где то в середине. Но у второго нет дос заголовка, нет стаба , он обнулен.
Мы нашли его по сигнатуре PE. Получили до него смещение, пропарсили основной и необязательный заголовки, пропарсили,
таблицу секций. У нас есть все данные. Давайте теперь получим данные из, директорий, и посмотрим, что находится в таблице импорта,
или в секции ресурсов??

| Сообщение посчитали полезным:

zombi-vadim пишет:
Меня все это порой очень удивляет. Откуда такая самоуверенность. Давайте решим небольшую задачку. Очень в принципе простую.
В файле два заголовка. Один в начале файла, второй где то в середине. Но у второго физически нет дос заголовка, нет стаба , он обнулен.
Мы нашли его по сигнатуре PE. Получили до него смещение, пропарсили основной и необязательный заголовки, пропарсили,
таблицу секций. У нас есть все данные. Давайте теперь получим данные из, директорий, и посмотрим, что находится в таблице импорта,
или в секции ресурсов??

В РЕ хидере всё указано, даже где находится таблица импорта,экспорта, ресурсов........... люди даже самописные загрузчики dll пишут а вы тут 5й год не можете открыть маны от мелкомягких и изучить РЕ формат

-----
Чтобы правильно задать вопрос, нужно знать большую часть ответа. Р.Шекли.

| Сообщение посчитали полезным:

ClockManВы не прочитали что я написал к сожалению, внимательно.

Добавлено спустя 1 минуту
Я отлично знаю что и где там находится.

| Сообщение посчитали полезным:

zombi-vadim пишет:
Меня все это порой очень удивляет. Откуда такая самоуверенность. Давайте решим небольшую задачку.
Задача слегка наркоманская, ну давайте решим:
IMAGE_FILE_HEADER - размер фиксированный
IMAGE_FILE_HEADER.SizeOfOptionalHeader - размер опционального заголовка
IMAGE_FILE_HEADER.NumberOfSections - число секций известно, IMAGE_SECTION_HEADER - размер фиксированный
IMAGE_NT_HEADERS.OptionalHeader.SizeOfHeaders - физический размер всех заголовков, включая секции и выравнивание
Остается выравнять полученный общий размер на IMAGE_OPTIONAL_HEADER.FileAlignment, много там будет вариантов, не больших чем IMAGE_NT_HEADERS.OptionalHeader.SizeOfHeaders? Опять же выравнивание это обычно нули, где они заканчиваются, там скорей всего началась секция. Смещение первой секции известно, у секции есть физическое смещение и RVA, от которых уже DATA_DIRECTORY'сы пляшут.

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd пишет:
Смещение первой секции известно Ну я не уверен что там всегда нули. Там может быть что угодно. Даже таблица данных UPX, к примеру (там даже повторяющееся слово Вася может быть). Вы уверены что поиск по нулям надежен?

| Сообщение посчитали полезным:

zombi-vadim пишет:
Вы уверены что поиск по нулям надежен?
Я хочу напомнить, а то мало ли: ты ищешь заведомо нежизнеспособный файл внутри другого файла. Ну спляши от импорта, если нули не нравятся - предполагая возможный оффсет первой секции в указанных пределах, пропарсь таблицу импорта. Если уж страдать фигней, так от души, вариантов куча.

-----
2 оттенка серого

| Сообщение посчитали полезным: DenCoder

f13nd пишет:
Я хочу напомнить, а то мало ли Так этож просто задачка на сообразительность. Никто и не говорит что ее надо решать без желания
Вы хотя бы попробовали это уже плюс.

| Сообщение посчитали полезным:

zombi-vadim пишет:
Вы хотя бы попробовали это уже плюс.
Плюс в никуда? Зачем нам всем это?

-----
IZ.RU

| Сообщение посчитали полезным: plutos

DenCoderЛюди разучились, творчески мыслить. Возьмите любой Супер мега валидатор PE. Сотрите буковку M из начала файла и как думаете что он выдаст. И правильно, на сайте мелгомягких сказано что она должна быть.

| Сообщение посчитали полезным:

zombi-vadim пишет:
Сотрите буковку M из начала файла и как думаете что он выдаст
Абсолютно честно валидатор скажет, что файл инвалид. У мелкомягких не только сказано, то и сделано так: кто не носит имя Марка Збиковски, будет наказан.

-----
2 оттенка серого

| Сообщение посчитали полезным:

zombi-vadim пишет:
любой Супер мега валидатор PE
Ну так-то он будет прав, ибо любой супер мега загрузчег такой файл не загрузит, виндовый лодырь парень не сильно креативный

zombi-vadim пишет:
Сотрите буковку M из начала
Имеет смысл рассматривать два основных варианта,- файл зашит as is, либо "шаманства", а буковку там затерли, пожали LZMA, или прошлись RSA шифрованием это уже лирика.
Так вот даже в первом случае не такая уж тривиальная задача точно выдернуть файл без динамического анализа, вдруг я синей изолентой к нему оверлеев намотал, как ты будешь аналитику данных за последней секцией бинаря в статике делать, если там подряд еще "рандомные" данные будут?

| Сообщение посчитали полезным:

f13nd пишет:
файл инвалид Да но этож валидатор, файл можно легко сделать рабочим. Я в этом плане.

| Сообщение посчитали полезным: