|
| Посл.отвђт | Сообщенiе |
|
|
Дата: Июн 7, 2004 16:56:27 Сильно не ржите, я только учусь... Вообщем такой вопрос можно не АСМЕ добавить PE секцию в чужой ехе? |
|
|
Дата: Июн 7, 2004 17:05:00 сейчас по этому поводу как раз пишется статья. пока лишь могу предложить статью про внедрению в ELF, в PE внедрение происходит аналогичным образом, только поля малость по другому называются |
|
|
Дата: Июн 7, 2004 23:12:55 Угу, а можно исчо прочитать описание PE файла если так ентересно у мня книженция гдето валялась про написания вирусов на асме, мыльни если найду вышлю kaspersky Статью Ждёмс :) Да если не трудно про ELF в PE |
|
|
Дата: Июн 8, 2004 00:07:16 > Да если не трудно про ELF в PE с удовольствbем: kpnc.opennet.ru/virii.unix.zip |
|
|
Дата: Июн 8, 2004 00:13:06 Я вот думаю, а если я с твоего сайта док натырю и положу на васм, то что ты скажешь? Раньше я как-то думал, что сайт приватный, а коль ты так... |
|
|
Дата: Июн 8, 2004 00:23:08 сайт не приватный, на самом opennet есть ссылка и index с описанием содержимого (правда, index давно не обновлялся), просто не доходят руки привести это в человеческий вид. ты же понимаешь, одно дело закачать файл по ftp и совсем другое, каждый раз править index. все, что лежит на opennet можно брать и на wasm, я только рад буду. |
|
|
Дата: Июн 8, 2004 00:30:08 Хорошо. Завтра займусь. |
|
|
Дата: Июн 8, 2004 08:42:24 kaspersky Спасибо |
|
|
Дата: Июн 8, 2004 09:24:36 так это - можно ли не АСМЕ добавить PE секцию в чужой ехе |
|
|
Дата: Июн 8, 2004 13:46:04 > так это - можно ли не АСМЕ добавить PE секцию в чужой ехе хороший вопрос, особенно умилияет упор на асм ;) правильнее спрашивать так: можно ли _вообще_ добавить секцию к PE? ответ: разумеется можно, т.к. (и это подробно рассмотренно в указанной статье), PE и ELF позволяет не только добавить секцию в конец себя, что реализуется вообще от нефиг делать, возьми любой виндовый вирус, а еще и можно поизвращаться в раздвижками секций с внедрением в середину. блин, ну ведь дал ссылку на статью. если читать в лом, то так и скажите - владею мышью, хочу конструктор вирусов. а простых ответов на такие вопросы нет и не будет. читай спецификацию на PE. будут вопросы - спросишь ;) |
|
|
Дата: Июн 8, 2004 18:07:01 Статью читал, но не всю вроде грамотно. Вообщем добавить PE секцию я смог :))))) И даже смог поменять AddressEntryPoint, но загвоздка в том что я незнаю как записать само тело вируса? |
|
|
Дата: Июн 8, 2004 20:45:26 Эээ.. А что там писать? У тебя в памяти валяется жертва. Допустим, есть указатель на начало новой секции и туда ссылается EP. В коде, в начале тела виря ставишь метку. В конце виря ставишь метку. Считаешь размер, можно препроцессору эту ответственную задачу выделить - не суть важно. Затем в esi пихаешь адрес стартовой метки, в ecx размер тела и в edi указатель на секцию. rep movsb. Только надо предусмотреть, что все обращения вирь делает с учетом дельта-смещения, которое надо вычислить в начале виря. Вот, собсно, и все для начала. :) |
|
|
Дата: Июн 8, 2004 20:54:33 Andrey_Kun А может сначала антивир напишешь :) ЗЫ Филипинец наверно также со скриптами начинал :) |
|
|
Дата: Июн 9, 2004 08:47:31 Не лучше ВиРуС |
|
|
Дата: Июн 10, 2004 18:11:09 2 n0p а может это в коде покажешь?? please... |