Разбирая конфигу Зевса

[z01k]

Итак с благостовения автора топика откровения зевса(https://xss.pro/index.php?topic=18405) и пользуясь руками и допинфой, удалось:
* вытянуть из бота ключ
* раскриптовать ключем конфиг
* поняту структура секций, и найден алгоритм распаковки для запакованых секций.
ОДНАКО, оказалось, что секция где лежат тексты инжекторов "не такая как все". То есть для неё не удалось вот так сразу найти информацию о размере. Да и вообще она не была оформлена как секция, а была вычленена как "нечно", лежащее между секцией с граберами секцией, где лежат урлы для инжектов.
А раз нет информации о размере о в распаковном виде, то и распаковать вот так вот сразу не получается.
Знающие товарищи, подскажите где искать пожалуйста? Ну хотя бы намекните

Зарание, спасибо.

 

[STAYER]

судя по этой картинке - http://3.bp.blogspot.com/_teq8tr511YQ/SrGq...600-h/block.png

надо парсить файл на наличие метки 0000 0100
потом ищем два блока после 0020
размер сжатого блока - 8500 0000
исходный размер блока - A100 0000

сразу после этих двух блоков начинается сжатый кусок, размер которого 8500 0000. а A100 0000 видимо используется для проверки

 

[fluffy]

ОДНАКО, оказалось, что секция где лежат тексты инжекторов "не такая как все". То есть для неё не удалось вот так сразу найти информацию о размере.

Секция с инжектами такая же, как и все. Смотри внимательнее.

 

[ph0enix.re]

Сорри за поднятие старой темы. Но может кому-нибудь пригодится.
То что видел я:

В расшифрованом виде конфиг состоит из хидера и массива секций. Секции начинаются по смещению 0x30. Каждая из них содержит заголовок

typedef struct _CONFIG_SECTION_HEADER
{
unsigned int _type;
unsigned int flags;
unsigned int compressedSize;
unsigned int uncompressedSize;
unsigned char Data[1];
} ConfigSectionHeader;

_type - тип секции, к примеру в секции с типом 0x4e23 содержится ссылка на гейт.
flags - флаги секций, также уточняет значения типа.
к примеру флаг 0x00000001 означает, что секция сжата.
0x10000000 - стандартная секция
0x40000000 - тексты инжектов
вот с последним интересней. Если установлен флаг 0x40000000, то поле тип означает не тип как таковой, а порядковый номер урл в секции с урл инжектов, для которого инжект будет срабатывать.

Вооот. =) Остальное копайте сами =) Или обращайтесь ко мне =)

 

[AluAdib]

номер версии бота неподскажите где искать? в билдере видел а билд вот что-то недолядел.

 

[ph0enix.re]

2AluAdib
вот это специально не смотрел. Вроде можно раньше было через пайп обратится. Но то, что сейчас в основном идет на зеустрекере генерит имена пайпов по статикконфигу в виде guid. Да и вроде бы протокол взаимодействия изменился тоже. Надо раскапывать, но в моих заказах на Зевса не просят расфигачить протокол общения через пайпы, а времени просто этим заниматся нет.

 

[AluAdib]

и еще вопрос mutexы где искать?)

 

[ph0enix.re]

2AluAdib
в смысле где? В коде конечно =)

 

[AluAdib]

Ах в коде)
да хочу поменять вечные __AVIRA__ и систем на чтонить малозаметное.

 

[ph0enix.re]

ну они сведены в одном месте помоему. Нужно просто взять билд и пропатчить нужные места или патчер написать. Если очень нужно - стучитесь, чтонибудь придумаем - тыц.