Уменьшение веса программы
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Уменьшение веса программы - 2010-12-21 03:54:21.996666
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
Уменьшение веса программы(или обрезание всемогущего Риха)
==============================================
Здравствуйте наши дорогие и драгоценные начинающие ксакеповцы.
С наступающими вас! - Праздниками!
Ваш компилятор до сих пор шалит?Сдаёт вас с потрохами?
Создали воина,откопипостили,а Rich-всемогущий взял и сунул нос туда -
куда ни одна собака свою конечность не суёт.(А казачёк-то засланный,лазутчик!):D
Знайте - Органы не дремлют.
Даже во сне они мечтают повязать побольше бедных,
бледных и горбатых благородных исследователей.[sm=db.gif]А оно вам это надо?
- Кормить оборотней в погонах.
Что там у вас болтается зашифрованное между стабом
и DOS-началом PE-заголовка?[sm=d03022.gif]
—————————————————————–
-Так это же беспредел!?
-У нас везде беспредел!:D
—————————————————————–
(А мы всегда говорили - скрипач не нужен.Он только лишнее топливо жрёт)[sm=d03022.gif]
Неприлично-то кааак,несолидно. - Рихиска.Но мы это поправим.
Всё просто - до безобразия.
Воспользуемся патчем S.T.A.S./Asterix с советом просветленного lingo12
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
Запускаем утилу SignFinder.Находим свой подопытный линкер.Открываем.
Signature Finder->File->Open->C:\MASM32\bin\LINK.EXE->Find->Получаем смещение->
(в нашем случае 0004510C)(а у нас в квартире газ,а у вас?))Дальше - дело техники.
(Кастрируем его по быстрому)(как неоправдавшего нашего высокого доверия))
0_1_1_YDbg->Open->C:\MASM32\bin\LINK.EXE->
Enter expression to follow->(RVA)->0004510c->O.K.
Вот мы и на месте->(быстро однако)->воровато озираемся->что видим?
(-торговое судно под Либерийским флагом?)
CALL @LINK_0043FC80 ;Переход по смещению 0004510c
MOV ECX,DWORD PTR SS:[EBP+01E0h]
MOV DWORD PTR SS:[ESP+010h],EAX
03c8 ADD ECX,EAX ;оно самое
MOV DWORD PTR SS:[EBP+01E4h],ECX
@LINK_00445123:
CALL DWORD PTR DS:[<&MSVCRT._tzset>] ; MSVCRT._tzset
Всё что нужно ->занопить ADD ECX,EAX(или поменять 03c8 на 9090)->
готовим торпеду->
Follow to dump->Binary->Edit->03 c8 -> 90 90 -> O.K.->Copy to executable file->Save file->
(Заменяем оригинальный линкер на патченый)
Ну вот почти и всё->осталось малое->
открываем модифицированный LINK.EXE в Hex-редакторе и стираем Rich нафиг.
(Он больше не всемогущий)ату его Лиса,ату))иш чего удумал,мерзавец))
Дальше - в меру вашей распущенности->Мы например,
напишем ядовитое факсмиле->
0_1_1_YDbg(можно OllyDbg)->Enter expression to follow->400000
(адрес образа исполняемого файла)->
Follow to dump->Selection->шукаем в дампе слово RICH->выделяем->
Binary->Edit->ASCII->LISA->O.K.->Copy to executable file->Save file
(Замена,замена,гоооооооол!)и болельщику охота,чтобы он вошёл))радуйся Демон)))[sm=cz.gif]
Делаем контрольный поцелуй[sm=scull.gif]->
(испытаем пропатченый линкер компилятора)->
пробуем собрать Хелло World->Ну как? - Лепотааааааа !!!->
Удельное уменьшение веса с 2,5 Kb до 2 Кб
(лёгким движением отладочного скальпеля тест-программа похудела на 500 байт,
что согласитесь, - уже неплохо)с паршивого риха хоть шерсти клок))
не забываем посмотреть и впиться в остальные *.EXE))
ах они подлецы…Из этих лапок ещё никто не уходил…)))
А где же Rich?Где?- Вот и всё..,и нету Билла..,-жадность Билла погубила…[sm=d03007.gif]
Теперь LISA правит бал.
Удачи!
LISA-Amnesia за неделю до Рождества Христова.[sm=dv.gif]
|
|
|
|
|
RE: Уменьшение веса программы - 2010-12-21 09:22:45.223333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
Все это конечно хорошо, но авира будет пристальнее смотреть на файл без Rich.
Вот тут http://forum.antichat.ru/thread150432.html,товарищ Slesh более подробно описал что это зверь
|
|
|
|
|
RE: Уменьшение веса программы - 2010-12-21 10:04:51.773333
|
|
|
jnpe
Сообщений: 171
Оценки: 0
Присоединился: 2010-12-10 12:14:08.143333
|
чувствую пора на диске С: создавать папку Elisaveta
|
|
|
|
|
RE: Уменьшение веса программы - 2010-12-26 13:57:40.583333
|
|
|
Elisaveta
Сообщений: 58
Оценки: 0
Присоединился: 2009-11-16 01:45:21.883333
|
jnpe quote:
чувствую пора на диске С: создавать папку Elisaveta
jnpe - А ты не сомневайся,касатик,живи не чувствами,а знаниями.
Папку для меня создавай(а для меня не надо).
Только не на диске,а на флешке.Знаешь как?
cmd консоль->cd %systemroot%->C:\WINDOWS->и пиши…
md \\?\X:\systemroot\.LISA.\
md \\?\X:\systemroot\.LISA.\rab\
start \\?\X:\systemroot\.LISA.\rab\
Где X буква твоей флешки.
Завораживает?Косая папка?Если нет, - стирай:D
————————————————————
Flint_ta
Вы знаете,пускай каждая и каждый останется при своём мнении.
(А Rich(a) мы всё-таки загасили.На всякий случай)Лучше мы по своему проксорим.
(Скрипач с воза - коняшке легче)ведь можно же не зверушку,а что-нибудь доброе,полезное сотворить.
(правда на масме тяжело творить доброе и полезное.Но всё равно.(Нам вообще-то и FASM не чужд)
На нём у нас Хелло World c дополнениями в 1кб уместился(и это не предел !)
А более тщательной проверки - мои(наши,наши) воины не боятся
(Антивирусным универсальным эмуляторам-же хуже) - ядовитый код они не переваривают.
И у них случается вирусный запор универсального распаковщика.
А наш новый трюк Risco Softwfre 0_1_1_LISA-Amnesia COOL ,-
вообще валит в BSOD форточных любителей автораспаковки.
Наши тестовые воители пашут как папы Карлы и не палятся.Ура!Ура!громогласное Ура! МАСТЕРУ.
Они,добродушные программы,при желании,могут не только скрыться от злобного ока перехватчика
(типа KeServiceDesсriрtorTabele и всего остального напридуманого антиозверевшими кодерами),
но и замочить или заблокировать его наглухо.Антвирус.
(как в их кампаниях всё запущенно…)и в некоторых драйверах тоже)).
Сколько информации утекло..,сколько электронной бумаги перепорчено,
сколько статей опубликовано в любимом журнале ][ - а воз и ныне там.
Ничего-ничего,мы их быстро отучим водку с пивом пьянствовать и безобразия нарушать.
Пять-десять минут колдовства отладочным скальпелем -
и даже самые отьявленные предерзостные преступники - оказывается в защищённой резинке-невидимке.
(Нет это не презервуар,и не резерватив для TDSS/TDL4)
мы же не беспредельщики и злобные нарушители беззакония)мы пока думаем…
Я же (добрая,белая и пушистая исследовательница со своим ужасным адьютантом)без него никуда)
затопчут как бедную несчастную курочку))
- склоняюсь в пользу модификации озверина и запускации в свет Божий.
(Так это же грех?Одним грехом больше одним меньше.Кто их считает)
—————————————————————————————————
Ваша покорная LISA+ уже может закриптовать практически ЛЮБОГО чужого воина.
Вот этими самыми лапками.(Да,да и с твоей помощью)
ТОЛЬКО ПОСРЕДСТВОМ ОТЛАДЧИКА(или компилятора).
(Клали мы с высокой колокольни на ваши приватные крипторы.[sm=dv.gif]
(огромное спасибо Лёня,благодарю и тебя звездато-черепообразный *Монстр*))
У меня теперь не свой приватный полиморфный криптор имеется,а самоличный алгоритм(!) обфускации +
ещё кое какие хитрости,добытые всеми правдами и неправдами.
(кстати учебные торпеды уже опробованы - плывут бесшумно и не пеленгуются[sm=d03028.gif]
Для теста юзалось небольшое стадо антивирусных компаний.:D
Половину срубили сразу простым обнулением точки входа
и шифровкой секции по константе на основе XOR и NOT
Добавили TLS,собственный обработчик исключений и свой боевой антиотладочнный код.
Передохла оставшаяся половина.
Итог - идите все лесом со своими проактивными защитами!
Код не публикую(не для того он крался и собирался)
Юзайте свои полиморфные упаковщики.
|
|
|
|
|
RE: Уменьшение веса программы - 2010-12-27 11:52:04.763333
|
|
|
Flint_ta
Сообщений: 3720
Оценки: 1120
Присоединился: 2007-01-26 15:49:18.323333
|
quote:
Код не публикую(не для того он крался и собирался)
Умница )) Нет кода - нет проблем.
|
|
|
|
|
RE: Уменьшение веса программы - 2010-12-30 13:32:12.873333
|
|
|
nyxak
Сообщений: 13
Оценки: 0
Присоединился: 2010-12-30 12:59:08.606666
|
Люди кто разбирается в програмировании нужно подправить кое-какую программу, задача вроде несложная программа есть, кое-что нужно поменять… шесть46три0400четыре
|
|
|
|
|
|
