[原创]五一在公司加班的时候无聊写的一个捆绑工具
软件作者:老费信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
大家好,5/1过的怎么样?
我在这里给大家带来一个捆绑工具,5/1在公司加班的时候无聊写的。
在2K 和 XP SP2 下初步测试了一下。
注意点:解捆绑时,会在系统目录下建立文件,所以要有相应的操作权限才行。其他没什么可说的,具体看软件说明吧。还有,对有些文件,比如eBook Workshop压成的电子书,某些自解压文件,某些古怪的壳,作为宿主出现,可能会不行,还在改善中...
因为我测试的不是很仔细,如果有什么BUG请跟帖,说明操作系统,具体情况,最好能给出待捆绑文件/宿主文件,或捆绑后的文件。我会尽快完善。
因为最近出差比较多,上网机会会少点,大家有问题在这里发帖,或去我的站发都可以,我一有时间就会上来看滴。
如果有好的建议也一定要告诉我哈
希望大家喜欢 :)
;**********************************************************
MD5:987f5706325dec1d4fcfae2503dbdcf3 Ek Chuah.exe
软件说明:
版本号:1.0版
软件作者:老费
技术支持:EChuah.bloggles.info
软件的设置以及使用方法如下:
1>在软件界面左侧相关设置栏,选中它显示当前所有设置,并可以对当前设置进行测试是否正确,测试正确后可以点击"开始合并"进行合并。
2>双击"相关设置"展开"基本设置"和"高级设置"
3>在基本设置中有3个设置项目,1:待合并文件:就是你要合并到其他文件上去的可执行文件;2:宿主文件:就是要被待合并文件插入的文件,合并前请先备份;
3:合并模式,一,搜索多余字节,在宿主文件中搜索00字节,尝试把待合并文件分散插入到00字节中去,这种合并方式适合宿主文件较大,而待合并文件较小的情况。优点是宿主文件合并前后字节不变。
二,扩展最后一节表,把宿主文件的最后一个节表增加待合并文件的大小,然后写入,需要注意,如果宿主文件不是纯PE文件,如那种安装包或加了某些壳,这种情况下就不适用。
三,在宿主文件末端增加一个新节。上面2种都不行的话,只有试试这个了。
4>高级设置有3项,1:入口点模糊EPO深度,如果你对这个概念不清楚,可以到网上查,或者保持默认设置:0,众所周知,我们要在宿主运行时获得控制权来做我们要做的事,至于什么时候获得控制权就是这个选项的事了,如果它为0,我们将在宿主程序的入口点获得控权,当他不为0,我们将从入口点开始搜索指令,第n(n就是设置的数)条指令时我们将获得控制权并把文件解绑,运行,作用?防止一定程度的入口点定位。如果你要改变这个设置,请确定你有足够了解宿主的结构,如果不确定,请保持为0。PS:无论你设置多少数字,我们只对入口点开始的100字节进行搜索(正常来说足够了)。这里指的第N条指令,是物理意义上的,而不是逻辑意义上的,也就是说,如果你定位了一个指令,而这个指令在宿主程序的逻辑中是没什么机会被执行的,比如:出某个错误时的处理,那么,我们也就没什么机会拿到控制权了。当然,这也意味着,请注意。如果你有创意,完全可以在当宿主结束的那一刻,启动你的小东西。:)
2:文件体加密:这个很简单,就是随机取一个种子,把它和待捆绑文件进行XOR运算进行加密。
3:文件头多态:这个就不多说了,下个版本提供时再详细说明,会对取特征码的手法做些遏制。
一般的应用,进基本设置,设置好文件路径,到相关设置处测试一下设置,根据反馈调整一下,一般就是调整一下合并模式,就OK了。高级设置都不用管,默认就OK了。
特别注意,没有对合并后的文件做标记,如果对已经合并过的文件反复进行合并,也许会出现奇怪的不可预计的现象.
2007/05/01 劳动节,OT中...
尾声:这个东西我做了1个星期,因为时间仓促,很多方面没考虑,考虑下个版本会增强某几个方面,第一是文件解绑部分实现多态,来对付特征码定位,还有就是对部分主流杀软的所谓动态监控做些处理。更重要的我想在大家帮忙的测试下,把稳定性和兼容性能进一步提高。当然,这些前提是有人需要的话,我不知道现在大家还是否需要捆绑器???或者特别需要哪些功能的捆绑器。。。 我问一下原理,
是不是把绑入的文件读出,写入系统目录,在执行?
那执行的这些的代码,是动态搜索API,还是静态写死的?
我也在写类似的东西,每个API都要定位,自己的字符串也要定位,
麻烦死了,
我用W32dsm调试,太不方便,
能不能用vs2005调试? pe修改+HASH搜索
类似于SHELLCODE 楼主还用了EPO技术,我觉得这技术很头痛啊,搜索E8,如果这个E8没有被执行,那么程序就无法被释放执行,还有很多方面会造成它不稳定,不知道楼主有什么心得,可以讲讲么? [quote]引用第1楼husheng34于2007-05-10 09:00发表的 :
我问一下原理,
是不是把绑入的文件读出,写入系统目录,在执行?
那执行的这些的代码,是动态搜索API,还是静态写死的?
.......[/quote]
动态的,参考一下MGF的源代码,他写的很漂亮
调试的话还是看个人习惯,RING3下我一般用OD,习惯了~~~
[quote]引用still发表的 :
楼主还用了EPO技术,我觉得这技术很头痛啊,搜索E8,如果这个E8没有被执行,那么程序就无法被释放执行,还有很多方面会造成它不稳定,不知道楼主有什么心得,可以讲讲么?
[/quote]
搜索E8我没有测试过,估计不够稳定吧,也不够好用,我的EPO带了一个轻量级的反汇编器,所以不仅仅是CALL指令,是从入口点开始搜索任何指令。 [quote]引用第4楼老费于2007-05-11 16:56发表的 :
搜索E8我没有测试过,估计不够稳定吧,也不够好用,我的EPO带了一个轻量级的反汇编器,所以不仅仅是CALL指令,是从入口点开始搜索任何指令。[/quote]
原来是这样,谢谢老费兄。
你应该也是用了添加资源的方法把文件放到目标文件里的吧?而插入的SHELLCODE(就先叫他SHELLCODE吧)是把资源释放出来再执行下,大概思路应该就是这样的吧?
页:
[1]