AntiWorm.Win32.FFAuto (+сорцы)

Сейчас на форуме: zds, UniSoft (+5 невидимых)

Посл.ответ	Сообщение
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 22 апреля 2013 22:51 · Личное сообщение · #1 Доброго здравица форумчане Не так давно попросил друг флешку от малвари вычистить, пришла в голову идею автоматизировать процесс ) Сие бородатое чудовище было разрезано на ломтики и потушено с зеленью. Вообщем ) В данной теме прошу изучать сорцы антималвари данного вида по касперскому. в данном файле содержится: 1. EXE 2. Сорцы 3. Оригинальный образец малвари с флешки этого вида. P.S. В сорцах очень много интересных функций, для новичков думаю будет занимательно) P.S.S. В архиве архив Worm.Win32.FFAuto[123].rar данный архив под паролем 123 (чудовище в клетке). Кому интереса ради - будет в самый раз. Хотелось бы добавить: 1. Все на ваш страх и риск. 2. Жду откликов. 3. Не забываем + Архив: http://webfile.ru/6491041 Pass: www.exel@b.ru \| Сообщение посчитали полезным: OnLyOnE, gloomdemon, VodoleY, ELF_7719116, vden

Veliant Ранг: 301.4 (мудрец), 194thx Активность: 0.17↘0.01 Статус: Участник	Создано: 22 апреля 2013 23:20 · Поправил: Veliant · Личное сообщение · #2 Code: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell затирает пустой строкой, что как бы нехорошо. Worm.inc и строка ключа реестра (szMalwareRegistryPath) доставили А стоило ли это на асме писать? OnLyOnE пишет: А на чем вы предлагаете подобное писать? При всей моей любви к ассемблеру, реализовывать на нем задачи дольше, чем на любом другом ЯП. Понимаю если это был бы какой-нибудь инжект или шелл. ManHunter пишет: А то что ж это за программа меньше 15 мегабайт и без фреймворков? На выходе C/Delphi можно получить exe в пределах 8-40кб. И вместо потраченных день-два, написалось бы за вечер. \| Сообщение посчитали полезным: JMPer, hors, ARCHANGEL
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 22 апреля 2013 23:44 · Личное сообщение · #3 Veliant пишет: затирает пустой строкой, что как бы нехорошо Поправлю у себя, спс. Veliant пишет: А стоило ли это на асме писать? Да Стоило.
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 23 апреля 2013 08:01 · Личное сообщение · #4 Veliant пишет: А стоило ли это на асме писать? А на чем вы предлагаете подобное писать? ----- aLL rIGHTS rEVERSED!
ManHunter Ранг: 104.9 (ветеран), 47thx Активность: 0.04↘0.02 Статус: Участник	Создано: 23 апреля 2013 10:07 · Личное сообщение · #5 [offtop] На QT, на .NET, на Java в крайнем случае. А то что ж это за программа меньше 15 мегабайт и без фреймворков? Даже людям показать стыдно! Ладно тут хоть за счет иконки размер получился чуть солиднее. [/offtop] Извините, не сдержался. \| Сообщение посчитали полезным: TryAga1n, Hellspawn, Rainbow, gazlan, yagello
hors Ранг: 136.0 (ветеран), 360thx Активность: 0.27↘0.14 Статус: Участник Qt Developer	Создано: 23 апреля 2013 11:12 · Поправил: hors · Личное сообщение · #6 Code: ClearLogWindow proc uses ebx esi edi local ReturnValue:dword mov ReturnValue, 0 invoke SetDlgItemText, hMainWindow, txtLog, offset szNewLine+2 mov ReturnValue, eax mov eax, ReturnValue ret ClearLogWindow endp Почему не Code: ClearLogWindow proc invoke SetDlgItemText, hMainWindow, txtLog, offset szNewLine+2 ret ClearLogWindow endp ? ManHunter пишет: Извините, не сдержался. Не беда. Лечится диетой. ----- http://ntinfo.biz
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 23 апреля 2013 14:25 · Поправил: OnLyOnE · Личное сообщение · #7 ManHunter пишет: Извините, не сдержался. Медаль вам))) Не надо примитизировать .. размер ни значит ничего.. факт что парень написал на асме... уже медаль надо давать.. умничка.. ----- aLL rIGHTS rEVERSED!
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 23 апреля 2013 14:31 · Поправил: VodoleY · Личное сообщение · #8 поддерживаю Онливана.. Если вам надо обьем.. в оверлей свап файл винды приципите.. че за идиотизм.... афтор топа умница.. поддерживаю! ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме.... \| Сообщение посчитали полезным: sivorog
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 23 апреля 2013 14:43 · Личное сообщение · #9 Ну приятно конечно ) спс ) Если кто серьезно заинтересовался малварью могу дать некоторые направления внутри и распакованную в т.ч. P.S. извините, но все подобное .NET у мну вызывает отвратно-рвотный рефлекс ) \| Сообщение посчитали полезным: TryAga1n
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 23 апреля 2013 14:54 · Личное сообщение · #10 Rainbow пишет: P.S. извините, но все подобное .NET у мну вызывает отвратно-рвотный рефлекс ) вот поэтому тебе и респект! ----- aLL rIGHTS rEVERSED!
VodoleY Ранг: 488.1 (мудрец), 272thx Активность: 0.35↘0 Статус: Участник	Создано: 23 апреля 2013 14:58 · Личное сообщение · #11 Rainbow пишет: P.S. извините, но все подобное .NET у мну вызывает отвратно-рвотный рефлекс ) аннналогично.. если пиши.. бум на него блевать вместе ----- Наша работа во тьме, Мы делаем, что умеем. Мы отдаем, что имеем, Наша работа во тьме....
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 23 апреля 2013 15:01 · Личное сообщение · #12 Если асм-кодинг интересен, могу интересных листингов подкинуть \| Сообщение посчитали полезным: OnLyOnE
Archer Ранг: 2014.5 (!!!!), 1278thx Активность: 1.34↘0.25 Статус: Модератор retired	Создано: 23 апреля 2013 15:03 · Личное сообщение · #13 Давайте всё же ближе к теме (хотя и несколько нестандартной) и подальше от холиваров, какой язык лучше.
ELF_7719116 Ранг: 419.0 (мудрец), 647thx Активность: 0.46↗0.51 Статус: Участник "Тибериумный реверсинг"	Создано: 23 апреля 2013 17:43 · Личное сообщение · #14 ближе к теме Rainbow По желанию, можно добавить SeRestorePrivilege и SeDebugPrivilege (админ права конечно нужны) для устрашения(чтоб наверняка удалить/убить). дальше от темы VodoleY пишет: бум на него блевать вместе присоединяюсь
OnLyOnE Ранг: 462.8 (мудрец), 468thx Активность: 0.28↘0 Статус: Участник Only One!	Создано: 24 апреля 2013 09:26 · Личное сообщение · #15 Rainbow пишет: Если асм-кодинг интересен, могу интересных листингов подкинуть Подкидывай) асм-кодинг всегда интересен. Интересно изучать реализации других кодеров, т.к. всегда есть чему учиться друг у друга. Одна и та же задача может быть реализована разными способами, код может быть более оптимизирован. ----- aLL rIGHTS rEVERSED! \| Сообщение посчитали полезным: plutos
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 24 апреля 2013 18:46 · Поправил: Rainbow · Личное сообщение · #16 OnLyOnE пишет: Подкидывай) асм-кодинг всегда интересен. Интересно изучать реализации других кодеров, т.к. всегда есть чему учиться друг у друга.Одна и та же задача может быть реализована разными способами, код может быть более оптимизирован. Ну раз заговорили об оптимизации, не так давно занимался протом PELock, изучал его внутренности, на основе его дизассемблера для спертого OEP накатал свою версию, при этом оптимизировав. Оптимизировано Разработчиками + компилятором + мной Здесь выкладываю сорцы проекта. Думаю интересного можно почерпнуть даже опытному в этом деле. Оценивайте, тестите, короче юзайте. P.S.Простейший программный дизассемблер. P.S.S. Процедуру декомпресси не оптимизировал - влом ) f526_24.04.2013_EXELAB.rU.tgz - Disasm.rar
Rainbow Ранг: 110.8 (ветеран), 104thx Активность: 0.09↘0.01 Статус: Участник	Создано: 24 апреля 2013 19:10 · Личное сообщение · #17 Rainbow пишет: Сие бородатое чудовище было разрезано на ломтики и потушено с зеленью. Возможно в обозримом будущем выйдет нечто подобное А в целом, если есть интересное зверье можете в лс писать и отработаем ПО.

Для печати