Склейка с помощью подручных средств

В этой статье мы постараемся раскрыть тему склейки с помощью подручных средств. Научимся клеить, прятать файлы, ставить хитрые условия запуска и многое другое...

1. Склеиваем.

Всем известно, что sfx-архивы можно использовать в качестве бомжеджойнера. Предлагаю базовый вариант склейки с помощью WinRar. Если изобразить схематично, то работать склейка будет следующим образом:

sfx000001

Начинается все с того, что юзер запускает наш sfx-архив. В настройках архива указан запуск скрипта outside.js, который в свою очередь, запускает обманку, а затем запароленный архив с определенными параметрами. В настройках архива с паролем тоже указан скрипт на запуск, только теперь inside.js. Скрипт запускает троян.

Теперь разберемся, как такое сделать.
Для начала нам нужны 4 файла:

  1. Троян (к примеру - адовый пинч)
  2. Файл-обманка (к примеру - мега-приватный мануал по бруту ВК)
  3. Скрипт inside.js
  4. Скрипт outside.js

С первыми двумя файлами вы разберетесь сами, мы же расскажем, что писать в скрипты. Многие кулхацкеры почему то говорят, что надо использовать батники, но моргающее черное окно - это палево, поэтому мы используем Jscript (хотя можно и юзать и Vbscript, отметьте для себя).

JScript является скриптовым языком программирования, разработанным компанией Microsoft©. Хотя данный язык напоминает JavaScript, он имеет отличия, иногда очень заметные. JScript может использоваться для создания приложений, запускаемых локально, то есть с диска пользователя. При этом не требуется установки дополнительного программного обеспечения.
http://ru-jscript.com/

Содержимое файла  inside.js:

Разумеется, мы можем использовать всю мощь Jscript и обфусцировать данный код до неузнаваемости, но оставим это на другой раз. Следующим шагом будет создание первого sfx-архива (на схемке - sfx_with_pass.exe):

sfx00002

В примере я воспользуюсь winrar'ом. Выставляем настройки:

sfx1

Имя архива, сжатие, 2 галочки и жмем на "Установить пароль":

sfx2

Выбрали пароль, жмем ОК и переходим во вкладку Комментарий:

sfx3

Можно вставить только это (вы же хотите просто скопировать):

Вставляем команды, жмем ОК. Первый архив готов. Обыкновенно в кулхацкерских мануалах показывают на какие галочки жать и т.д, но по сути, все эти галочки просто добавляют нужные строки в этот SFX-комментарий. Для винрара список возможных команд можно посмотреть здесь - http://winrar.pp.ua/html/HELPGUISFXScript.htm.

Теперь создадим файл outside.js:

И наконец, создаем еще один архив:

sfx002002

Настраиваем как и раньше, только не ставим пароль. В комментарии пишем:

Наша бомже-склейка готова. Поздравляю! С помощью этой статьи вы уже можете клеить файлы беспалевнее, чем описано в большинстве мануалов. Никаких всплывающих черных окон от батников, а в качестве бонуса - затык (до поры до времени) сигнатурных антивирусов, которые не могут открыть запароленный архив.

2. Прячем.

Изложенного выше материала хватит чтобы получить плюсик на школо-хеккерном-андирграунт-форуме. Но мы пойдем дальше. И вы сможете даже толкать эту статью под видом охуительного мануала, рублей за 600 (как раз на грамулю гашика хватит).

Для начала откроем нашу склейку с помощью WinRar:

sfx4365

Палево, конечно, диавольское. Даже не одаренный божией искрой отрок поймет, что что-то сатанинское вываливается из этого бесовского архива. Перебьем расширения файлов на более добрые:

sfx4389865

Имена файлов, для наглядности, я оставлю такими-же как и были, чтобы вы не запутались. Мы докинем в нашу папку еще один файлик - ярлык help.lnk. Создаем ярлык для любого файла, и меняем его свойства следующим образом:

sfx305

Меняем рабочую папку, меням значок, ставим окно, в поле объект пишем:

Сохраняем, закрываем свойства, потом опять открываем и меняем в настройках "Расположение":

sfx3105

Теперь поменяем комментарий к архиву:

SetupCode - означает, что пока help.lnk не отработает, outside.js не запустится. (Кто плотно изучал консольку, уже заметил, что можно обойтись вообще одной строчкой Setup=help.lnk, а Setup=outside.js и SetupCode выкинуть).

И еще нам придется малость подредактировать файл outside.js:

Все пашет как и раньше, но теперь, если файл откроют через архиватор, наши файлы хоть и видно, но все расширения абсолютно безобидные (для большинства пользователей). Ничто не мешает закинуть еще 10-15 файлов, до кучи.

3. Прячем глубже.

В прошлом методе есть несколько проблем:

  • sfx_with_pass.exe можно открыть как архив
  • Содержимое sfx_with_pass.exe можно вытащить, зная пароль.
  • В папке temp остается куча мусора.
  • Исходник outside.js никак не защищен

Чтобы архив sfx_with_pass.exe нельзя было открыть, мы его испоганим его в hex-редакторе. Для примера - забьем 2 байтика нулями. Открываем архив sfx_with_pass.exe в любом hex-редакторе (я пользовался WinHex).

Переходим по смещению 400h (скроль мышкой от начала файла, пока не увидишь 000400). И затираем 1 байт нулями (для примера - байт по смещению 430h). То что затерли, запоминаем (в нашем случае было значение 87h).

sfx567893

Сохраняем, пробуем запустить - ноль реакции. Отлична. Теперь сделаем так, чтобы наш архивчик нельзя было открыть через WinRar. Ищем в файле "Rar!":

sfx123

Нашли. Теперь тоже затираем 1 байт (букву "R"). Было:
52 61 72 ....
стало:
00 61 72 ...

Пробуем открыть наш файл через архиватор:

sfx54893

Чего и добивались.

Но подождите, как же мы запустим наш архив с убер-приватным троянингом?  Пропатчим архив перед запуском (нет остановки извращеньям)! Никаких лишних файлов - все проделаем в скрипте outside.js:

Проверяем. Пашет. С одной проблемой разобрались. Но как маячит наш пароль - "ZLAYASATANAPRIDET". Надо его как-то скрыть. Сделаем кодес сумасбродней в нашем илитарнейшем бомжеклее:

Обыкновенная обфускация, но разница на лицо.

Продолжим... Наш бомжеклей, как и полагается всякому бомжу, оставляет после себя тонны мусора. Это не дело. Надо убираться за бомжиком, если он суко мразь сам не может. Для этого добавим в файленг outside.js:

И все говнище удаляется. Остается только падлюка пинч, который по идее должен удалиться сам (либо его съест проактивка). Все что нам остается, это накрыть скрипт outside.js обфускатором и наш бомжеклей обретает приятный аромат огуречного лосьона.

  • http://javascriptobfuscator.com/
  • http://www.jsobfuscate.com/
  • http://packer.50x.eu/
  • http://myobfuscate.com/?lang=ru
  • http://www.javascript-obfuscator.com/
  • http://www.daftlogic.com/projects-online-javascript-obfuscator.htm
  • http://javascriptcompressor.com/
  • http://www.freedomscripts.org/js-invis.html
  • http://discogscounter.getfreehosting.co.uk/js-noalnum_com.php
  • http://utf-8.jp/public/aaencode.html

Вообще обфускаторов JavaScript очень много, но важно, чтобы эти обфускаторы не били наш код. Ибо мы то писали на Jscript.

4. Финальные штрихи

Нам осталось не так уж и много:

  • Условие файл (наличие, отсутствие)
  • Условие время (день, месяц, час, до даты, после даты)
  • Сборный пасс
  • Сделать иконку (+ HD-иконки)

Для того, чтобы исключить повторный запуск трояна, мы можем встроить в нашу склейку примитивную логику. К примеру, если в корне диска C: есть файлик "uje_zarazili_ne_trogat.txt", то запускаем только обманку. Если файла нет - запускаем и обманку и наш троян.

Реализуется это довольно просто:

Мы можем использовать более сложные условия - запускать троянчег до определенной даты, или после определенной даты, по определенным числам, в определенные часы и т.д. К примеру, троян сработает, если дата больше чем 2014 год, 8 месяц (август), 23 число и 12 часов.

Можно сделать несколько таких условий и запаковать 4-5 билдов с разным криптом (к примеру - 1 крипт на 2-3 дня, главное рассчитать, как быстро палится крипт). Я думаю такая техника может выручить в некоторых условиях.

Мы можем воспользоваться и немного другой техникой. К примеру добавим в пароль переменную, значение которой зависит от числа месяца. И к примеру, наш троян будет отрабатывать только 22 числа, потому что только 22 числа, будет подставляться правильный пароль для открытия sfx-архива.

Чтобы сделать Hd-иконку:

  • http://www.convertico.com/
  • http://ru.toolson.net/IconGenerator/Create
  • http://www.convertico.org/
  • http://www.iconverticons.com/online/
  • http://www.converticon.com/
  • http://www.icoconverter.com/

Заходим в любой сервис, делаем из картинки иконку, затем с помощью любого редактора ресурсов добавляем иконку нашем архиву. Вот и все (может еще добавлю, как менять иконки).

5. Заключение.

Наверное ты думаешь, что неплохо бы такую тему автоматизировать и написать соответствующую программу.
Я так не думаю. Данная статья - лишь еще один пример того, как можно соорудить самоходную конструкцию из костылей.