Прописование

← →
Opera (2003-07-06 20:15) [0]

Здравствуйте, помогите с кодом, чтобы моя программа автоматически прописывалась во все .ехе файлы на всех дисках (как вирус), и при запуске любого .ехе файла запускался этот файл и моя программа.

← →
Юрий Зотов (2003-07-06 20:29) [1]

Это можно. Только сначала вопрос - а что Ваша программа будет делать? Вот, она запустилась - а делать-то она что будет?

← →
Opera (2003-07-06 20:44) [2]

1: прописыватся во все возможные .ехе
2: все .ехе находящиеся в памяти копирует в отдельный каталог на диске J:

А принцип запускаю прогу она прописывается во все .ехе а после при запуске .ехе (где приклеен и мой .ехе) в памяти видит еще процесс и его резервирует. (Мне нужны все ехе"шники на всех дисках)

← →
Юрий Зотов (2003-07-06 20:46) [3]

Нет, ну это и так понятно. А зачем все это? Вот что непонятно.

← →
Anatoly Podgoretsky (2003-07-06 20:50) [4]

А чего стесняешься это прямо назвать вирусом?

← →
Opera (2003-07-06 21:00) [5]

>А чего стесняешься это прямо назвать вирусом?<
Хм, а что стеснятся? Это не вирь я просто прошу дать код!
А система сложновата все не описать!
Дайте пожалуйста код!

← →
Юрий Зотов (2003-07-06 21:12) [6]

А как же можно дать код неизвестно чего? Вот если бы точно знать задачу, то это было бы совсем другое дело. Так вы же не говорите...

← →
Anatoly Podgoretsky (2003-07-06 21:13) [7]

Выглядит как корова, мычит как корова, значит корова и есть.
Козьма Прутков в волном изложении.
Тебе на http://www.virusmaker.ru

← →
Opera (2003-07-06 21:23) [8]

Мне нужно при нажатии кнопки программа (например c:\1.exe) прописывается во все .ехе файлы на всех дисках. Чтобы после запуска любого .ехе запускалась сама прога и файл (который был в c:\1.exe).

> http://www.virusmaker.ru<
не работает

← →
Ihor Osov'yak (2003-07-06 21:31) [9]

А это вирьмейкеры жертвой сегодняшнего празника крекеров стали :-)

← →
Юрий Зотов (2003-07-06 21:32) [10]

> Opera © (06.07.03 21:23)
Ну, это Вы уже говорили, зачем повторяться. Но так и не ответили на ГЛАВНЫЙ вопрос - а ЧТО же будет делать Ваша программа ПОСЛЕ своего запуска и ЗАЧЕМ это нужно?

← →
panov (2003-07-06 21:47) [11]

вот-вот - ЧТО ДЕЛАТЬ? -)

← →
Marser (2003-07-06 21:48) [12]

> Юрий Зотов ©

В одной из книг "мистера Х" о ТР есть код антивируса, который 100% защищает исполняемые файлы методом вакцинации. При запуске проверяется контрольная сумма файла. Другого конструктивного применения я не вижу.
З.Ы. Буря! Скоро грянет буря! (С) :-))

← →
Юрий Зотов (2003-07-06 21:54) [13]

> Marser © (06.07.03 21:48)

Дык... это известно. Потому и спрашиваю. Вот только дождусь ли ответа?

← →
Marser (2003-07-06 21:59) [14]

> Юрий Зотов © (06.07.03 21:54)
> > Marser © (06.07.03 21:48)
>
> Дык... это известно. Потому и спрашиваю. Вот только дождусь
> ли ответа?

Посмотрите в анкету. Ну кого из современников в таком возрасте не тянет повирусописать? :-) Сам таким тогда перестрадал. А то, что корчит из себя святого, так то не от большого ума.

← →
Юрий Зотов (2003-07-06 22:04) [15]

Ну, почему? А вдруг и правда вакцина? Или еще что-то полезное.

Правда, в таком случае, мои "уточняющие" вопросы не должны были бы вызвать никаких затруднений. Значит, тест не пройден...
:о)

← →
Ihor Osov'yak (2003-07-06 22:09) [16]

Почему? А вдруг супер-пупер идея, которую еще никто не сидейничал и здесь говорить нельзя, ибо утянут..

Зы. Но что-то верится в это слабо..

← →
k-man (2003-07-06 22:09) [17]

Посмотрите в мою анкету. И знайте я не занимался вредительством и не буду им заниматься.

← →
Opera (2003-07-06 22:09) [18]

Я уже говорил после прописывания файла (c:\1.exe) файл должен запускатся а делает он вот что:
просматривает файлы в памяти и копирует их в определенную папку (на это мне код не надо) мне надо прописывание во все exe

← →
k-man (2003-07-06 22:10) [19]

> Я уже говорил после прописывания файла (c:\1.exe) файл должен
> запускатся а делает он вот что:
> просматривает файлы в памяти и копирует их в определенную
> папку (на это мне код не надо) мне надо прописывание во
> все exe

Да ты я смотрю тормозишь, спросили то ЗАЧЕМ надо, а не что.

← →
Юрий Зотов (2003-07-06 22:13) [20]

> Opera © (06.07.03 22:09)
> просматривает файлы в памяти и копирует их в определенную
> папку

Ну, во-первых, для этого никакие вирусные технологии и не нужны, то же самое можно сделать гораздо проще. Во-вторых: а ЗАЧЕМ?

← →
Palladin (2003-07-06 22:20) [21]

> А система сложновата все не описать!

а ты попробуй...

← →
Opera (2003-07-06 22:23) [22]

Вам сложно просто дать код? Я понимаю я вас заинтриговал и вы хотите знать заче это ну дайте код плз

← →
Marser (2003-07-06 22:25) [23]

> Opera © (06.07.03 22:09)
> Я уже говорил после прописывания файла (c:\1.exe) файл должен
> запускатся а делает он вот что:
> просматривает файлы в памяти и копирует их в определенную
> папку (на это мне код не надо) мне надо прописывание во
> все exe

А что ж тут такого заковыристого?
> k-man © (06.07.03 22:09)
> Посмотрите в мою анкету. И знайте я не занимался вредительством
> и не буду им заниматься.

"Подъём флага у домика"(С) Даже и не знаю, что сказать :-))
Кому это интересно?

← →
Ihor Osov'yak (2003-07-06 22:27) [24]

Да, кстати - всю субботу, и сегодня пол-дня, вместо того, чтобы отдохнуть, или чего полезное сделать - вирус ловил. Руками.. Я бы этих деятелей..

.. Отправил сегодня в обед Касперскому, пришло письмо с ответом, что обозвали его TrojanClicker.. Пока на сайте у них про него ничего нет.. В общем - то вирусок то безобидный, но откуда мне это было знать, когда его ловил..

← →
Marser (2003-07-06 22:32) [25]

> Opera © (06.07.03 22:23)
> Вам сложно просто дать код? Я понимаю я вас заинтриговал
> и вы хотите знать заче это ну дайте код плз

Тебе сложно, раз ты такой умный, самостоятельно изучить структуру экзешника?

← →
wicked (2003-07-06 22:34) [26]

2 Ihor Osov"yak © (06.07.03 22:27)
поздравляю.... :)
не лыком наши шиты.... :)

← →
Opera (2003-07-06 22:35) [27]

:-(

← →
Marser (2003-07-06 22:37) [28]

> Ihor Osov"yak ©

Если не сложно, можно процесс ловли на мыло скинуть, а то я только трояны сам ловлю.
З.Ы. Будь ласка!

← →
k-man (2003-07-06 22:38) [29]

Удалено модератором

← →
Ihor Osov'yak (2003-07-06 22:40) [30]

2 wicked © (06.07.03 22:34)

Да в общем - то его по большому счету можно было за два-три часа прижучить.. Но несколько паника поднялась - перед этим клиенту билды слал, ну и плюс пол-дня avp и drwed триальные зазря гонял.. А дискового пространства - слава богу хватает..

Когда подловил - не совсем уверен, есть в общем рабочая версия, но не стопроцентная.. Но это уже не важно..

Но в самом вируске есть несколько оригинальных моментов, пустивших поначалу не по совсем воптимальному пути ловли..

← →
Marser (2003-07-06 22:43) [31]

Удалено модератором

← →
Marser (2003-07-06 22:51) [32]

> C"est la guerre!

Это если очень коротко. А так... Я понял, K-man, что это ответ на мой пост. Мой ответ Marser © (06.07.03 22:43)

← →
k-man (2003-07-06 22:54) [33]

Удалено модератором
Примечание: Личная переписка

← →
Marser (2003-07-06 22:57) [34]

Удалено модератором
Примечание: Личная переписка

← →
Anatoly Podgoretsky (2003-07-06 23:05) [35]

Opera © (06.07.03 21:23)
Ну не повезло тебе или закрыли или котенстисты случайно прибили, но ты периодически проверяй может оживет.

← →
k-man (2003-07-06 23:16) [36]

> Во-первых "hastalavista",

Благодарю

> а во-вторых - ты хоть понял, что это?!

Нет, но звучит что надо ;)

← →
Ihor Osov'yak (2003-07-06 23:35) [37]

2 Marser © (06.07.03 22:37)

Да ладно, могу и сюда. Может еще кому будет полезно, ну и заодно порисуюсь..

Это еще с досовских времен.. Есть прывычка "слушать" машину.. То есть, к примеру, когда винт начинает там чего писаить, или читать.. Сейчас это сложнее, ибо виндовс очень хитро работает.. Но аномалии можно уловить..
Делаю это относительно спокойно - ибо определенные меры предосторожности, типа ежедневного ахивирования результатов работы, етс.. Плюс персональный фаервол - теперишние трояны, как правило, куда-то лезут, и этим способом их очень быстро поймать можно.. Лишь правильно файрвол настроить..

А об этом случае. При начале навигации в инет что-то активно винт начинает работать, на своп непохоже - с памятью нет проблем. FileMon от sysinternals - и видим IE как бешенная в temp какие-то html начинает создавать и сразу уничтожает.. Вырубаем IE, смотрим эти файлы - там полно каких-то скриптов на открытие окон за пределами десктопа на всякие сайты.. Правда, такое впечатление, что эти окна еще не открывались..

Тянем триал avp - он находит exploit.java.bytverify, успешно его лечит.. Но проблема не снимается.. Значит есть еще что - то.. Раз IE безобразничает - значит вирус как плагин подцепился.. Это был неправильный вывод. Но на проверку плагинов ушло часа два.. В смысле ручками в рееестри отключал, эффект не исчез.. Потом думаю, может какая то длл методом хука впаривается - прошелся по них, вроде не к чему пристать.. Впрочем, проходидся бегло, ибо планировал второй круг более тщательно.. Отключил яву со скриптами, мазохизм в tmp исчез..

Ладно, думаю для начала сделаю sp1 для IE6, ибо в описании к exploit.java.bytverify это советуется.. После sp1 снова прохожусь по плагинам, посносил их все без особого разбора - начал уже нервничать.. Включаю снова яву - вроде бы все нормально.. Значит - это либо проделки exploit.java.bytverify, ибо плагина какого-то либо.. Их у меня было несколько, своего времени делал на заказ, ну и клиент давал ссылки на аналоги - естественно я их устанавливал..

Успокоился - перегруз системы - запуск IE - а там вместо домашней страницы какая-то лажа.. Причем оригинально - смотришь - about:blank. А прикол в том, что этот about:blank уже в конце урлика.. А поначалу %77%77%77%2e% - и тд.. то есть визуально можно и не заметить.. А лажа это потом быстро редирект делает на вроде бы нормальный сайт..

Удаляю, перегруз - снова лажа. Угу. Серия намбе ту.. Ну, это пошло более быстро.. Заметил, что впаривание идет даже при смене юзера - значит дело не в сервисах.. Это уже легче.. Изучаем, что там в реестри прописано на запуск, ставим regmon от того же sysinternals, запускаем по очереди то, что в автозапуске и наблюдаем, кто домашнюю страницу поганит.. Так и был этот зверь вычислен.. Его, наверное, exploit.java.bytverify в последние минуты жизни успел впарить, или я его поначалу на него внимания не обратил :-(

← →
Marser (2003-07-07 00:09) [38]

> k-man © (06.07.03 23:16)
>
> > Во-первых "hastalavista",
>
> Благодарю
>
> > а во-вторых - ты хоть понял, что это?!
>
> Нет, но звучит что надо ;)

Ладно, прощаю. В последний раз. :-) (учитывая несдержанность и то, что ты все же ответил :-) )
Учите, дети, французский язык:
C"est la guerre [се ля гер] = Это война. Правда у меня асоциации чуть-чуть другие (Богдан Ступка в роли Богдана Хмельницкого в "Ogniem i mieczem" и его многозначительное "Vojna!" Скшетускому при вести о выступлении Потоцкого), но "Vojna!" это слишком очевидна.
P.S. A la guerre comme a la guerre = на войне, как на войне [а ля гер ком а ля гер]

← →
Marser (2003-07-07 00:11) [39]

← →
MBo (2003-07-07 06:38) [40]

По сабжу -
Как жаль бывает иногда, что телесные наказания не поощряются ;(

← →
Black_phoenix (2003-07-07 07:28) [41]

> Opera
Запомни одну истину : на этом форуме не спрашивай такие вещи !!!
Лучше спроси 2 раза но части кода а потом соедени их чтобы не было подозрительно

А ещё лучше попробуй сделать нормальную программу а не "вирус" потому как написать хороший вирус порой сложнее чем антивирус так что ...

И ещё : не проси так нагло код !!! Сам код элементарный , но тебе его никто не даст из соображений того что ты не зная таких вещей можешь навредить кому либо ! В любом случае не зная основ не напишешь не вирус не программу так что учись ! Ведь програмирование это очень интересная вещь и можно заниматься этим очень долго и тебе не станет от этого скучно , а если ты уже возомнил себя супер хакером и просишь код который мог бы сам написать за 10 - 15 мин ( максимум ) то извени , пока тебе не кто его не даст
В крайнем случае есть такая штука : называеться поисковая система www.rambler.ru www.yandex.ru так что вперёд и с песней !!!

** * Black_phoenix ** *

← →
Opera (2003-07-07 13:22) [42]

Ну может я и нагло попросил, но вирус я писать действительно не собирался.

← →
Marser (2003-07-07 13:32) [43]

> MBo © (07.07.03 06:38)
> По сабжу -
> Как жаль бывает иногда, что телесные наказания не поощряются
> ;(

Тут уж не наказание - избиение устраивать надо. Показательное.
> Opera © (07.07.03 13:22)
> Ну может я и нагло попросил, но вирус я писать действительно
> не собирался.

ТАКУЮ программу можно и без подобных извращений написать.

← →
AlexRush (2003-07-07 13:39) [44]

>> Opera © (06.07.03 22:23) >> Чем клянчить, почитал бы книжек. Для любого "благородного" дела с манипуляциями над исполняемыми файлами тебе хватит:
Метт Питрек "Системное программирование в Windows 95"
Том Сван "Turbo Assembler"
Зубков С.В. "Assembler для DOS,Windows,Unix"
MSDN

← →
AlexRush (2003-07-07 13:59) [45]

2Opera
И еще немного теории.
Если нужно чтобы при запуске любого .ехе файла запускался этот файл и моя программа. то сделать это можно гораздо проще. Никакого заражения файлов не нужно. Достаточно записать в реестре, что файлы с расширением .EXE следует запускать с пом. такой-то программы. Тогда, если оболочка (Explorer, Total Commander, Far etc) запускает .EXE через ShellExecute, то запустится именно твоя прога, которая в качестве параметра коммандной строки получит полный путь к имени .EXE, который запускал пользователь. Дальше - дело техники.
Если же нужно внедряться в адресное пространство других процессов и при этом стартовать вместе с системой, то есть очень простой, абсолютно документированный способ: ключ реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
в котором создаем REG_SZ AppInit_DLLs, а в значение пишем полный путь к DLL. Эта ДЛЛ будет грузится ко всем процессам-потомкам SYSTEM. Warning!!! DllMain этой либы всегда(!) должна возвращать TRUE.
Заражение ПЕ - дело мутное, даже если патч не делает вредоносной работы, это быстро обнаружится и AVP еже с ним задолбают. Total Comander, например, сам свой CRC перещитывает.

P.S. А откуда я это все знаю ?? ;)

← →
AlexRush (2003-07-07 14:03) [46]

2 All:
Он не вирус пишет.

>все .ехе находящиеся в памяти копирует в отдельный каталог на
>диске

- до такого даже самый "изобретательный" вирьмэйкер не додумался бы.

← →
Anatoly Podgoretsky (2003-07-07 15:40) [47]

Теорию не просили давать, прямо скащано код давай зараза. Разве Вам сложно просто дать код?

← →
AlexRush (2003-07-07 15:46) [48]

← →
Anatoly Podgoretsky (2003-07-07 15:52) [49]

На врачей.

← →
Poirot (2003-07-07 16:16) [50]

> AlexRush © (07.07.03 14:03)
> 2 All:
> Он не вирус пишет.
>
> >все .ехе находящиеся в памяти копирует в отдельный каталог
> на
> >диске
>
> - до такого даже самый "изобретательный" вирьмэйкер не додумался
> бы.

Это точно! Может быть ещё и не только ехе в памяти (что само по себе интересно) но и вместе с их виртуальным адресным пространством... гы-гы-гы!!!

← →
AlexRush (2003-07-07 16:28) [51]

>> Anatoly Podgoretsky © (07.07.03 15:52) >> Заданый вопрос, вообще-то,из категории "пишу крутую игрушку, кстати, шо такое HDC ?". Код человеку вряд ли пригодится, а теория не помешает. Написать жизнеспособный вирус начинающий програмер не сможет, а когда получит level-up и experience прокачает, то писать вири расхочется (по себе знаю :). Так что, будем надеятся, на врачей не понадобится :)

← →
Soft (2003-07-07 18:49) [52]

Удалено модератором
Примечание: Личная переписка

Прописование Найти похожие ветки