TXT. Mascarea virușilor *.exe în *.txt Mascarea fișierului exe

Articolul arată cum puteți depăși un utilizator atent care este familiarizat cu elementele de bază ale ingineriei sociale, care chiar monitorizează extensiile de fișiere și în niciun caz nu solicită utilizarea acestor informații în scopuri ilegale. Scopul este de a lansa un fișier executabil, trecându-l drept document text într-o arhivă zip și, dacă este puțin probabil să ruleze, atunci împiedicați dezambalarea sau ascunderea fișierului.

Există deja un articol despre Habré despre posibilitatea de a schimba ordinea de citire a caracterelor Unicode folosind octetul RLO. Se spune că, utilizând Windows Explorer standard, este dificil de observat înlocuirea (spoofing) a unui nume de fișier. Se vorbește despre ascunderea extensiei reale de fișier. Există, de asemenea, un articol despre caracteristicile arhivatorului încorporat în Explorer.

Ca persoană care monitorizează mereu extensiile fișierelor care sunt deschise, mă întrebam dacă există programe care avertizează despre acest lucru? În special, arhivatorii sunt în siguranță? Și ce pot face atacatorii pentru a ocoli protecția.

Ca subiect de testare, să luăm un fișier executabil cu extensia .exe, să-l numim „Despre succes” txt.exe».

După litera „p”, în modul de editare a numelui fișierului, în meniul contextual Explorer, selectați „Inserare caracter de control Unicode” și selectați RLO. Aceasta va schimba numele afișat al fișierului în „Despre uspexe.txt”.

7-Zip 9.20/15.06

WinRAR 5.3

Încorporat în Windows Explorer

După cum puteți vedea, 7-zip a renunțat imediat, WinRAR a arătat o săgeată, iar arhivatorul încorporat în Explorer nu acceptă RLO. Acum ne gândim, este posibil să facem cumva falsificarea cu ultimii doi arhivatori? Pentru a face acest lucru, deschideți fișierul arhivat într-un editor HEX, citind simultan specificația formatului ZIP.

Când comprimați un fișier în zip, numele fișierului este duplicat de 2 ori.

Și aici există un câmp mare pentru creativitate.

În primul rând, puteți șterge caracterele octetului RLO din a doua intrare. WinRAR va afișa apoi numele fișierului „Despre uspexe.txt” și îl va deschide ca document text. Totuși, dacă mergi mai departe și schimbi extensia .txt în .jpg, atunci până la versiunea WinRAR 4.20 această pseudo-imagine va fi lansată ca aplicație. Această vulnerabilitate nu mai există în WinRAR 5.3b2.

După ce ați deschis un fișier cu RLO șters în a doua apariție în arhivatorul încorporat în Windows Explorer, puteți observa că numele fișierului a devenit aproape lizibil - doar literele rusești nu pot fi citite. Pentru ca numele să fie lizibil, le vom înlocui codificarea sau le vom scrie în latină. Cu toate acestea, nu dorim ca utilizatorul să deschidă programul ca document text.

Pentru a împiedica arhivatorul Explorer să vadă un fișier, trebuie doar să specificați unul dintre caracterele rezervate de sistemul de fișiere NTFS în numele fișierului (de exemplu,<). Однако, это не спасет от просмотра архива WinRAR-ом. Что же делать? Добавить null-байт в начало имени файла!

Apoi se va întâmpla un mic miracol: WinRAR 5.3b va afișa fișierul ca folder „Disc local”, mergând în care în interiorul arhivatorului, WinRAR va despacheta automat fișierul nostru cu simbolul RLO în nume (numele pentru despachetare este luat de la prima apariție!) în directorul „Temp\ Rar$” *" și afișează cu atenție fișierul executabil în Explorer ca document text! Vă rugăm să rețineți că, după închidere, arhivatorul va încerca cu atenție să șterge acest fișier ca orice alt fișier dezambalat într-un director temporar.

Puteți să o faceți simultan astfel încât să poată fi citită de arhivatorul Explorer. Apoi, în loc de null, trebuie să introduceți un alt caracter neprintabil.

rezumat

• 7-Zip 15.06 afișează numele fișierului de la prima apariție (cu caracterul RLO). Fișierul executabil este prezentat ca document text. Chiar dacă ați activat afișarea extensiilor tipurilor de fișiere înregistrate. Făcând dublu clic în fereastra de arhivare, se va lansa fișierul executabil.
• Arhivatorul intern Windows nu vede acest fișier special. Vede alte fișiere.
• WinRAR 5.3b afișează fișierul ca un folder „Disc local”, mergând în care în interiorul arhivatorului, WinRAR despachetează automat fișierul nostru cu un nume înlocuitor (cu simbol RLO) - numele pentru despachetare este preluat de la prima apariție - în directorul „Temp” și îl arată cu atenție în fișierul executabil Explorer ca document text!

Dar nu totul este atât de trist. 7-Zip, de exemplu, până la versiunea 9.20 afișează numele fișierului de la a doua apariție. Cu toate acestea, dacă nu schimbați numele fișierului în a doua intrare și nu faceți o arhivă Zip, ci una rară, dintre aceste trei arhive, doar 7-Zip poate fi deschis și puneți-l în arhiva noastră Zip (nu găsiți un șablon familiar - lansarea unui program stricat, unde de obicei sunt plasate o grămadă de arhive cu fișiere readme.txt?), atunci atacul va funcționa și asupra lui. Mai mult, versiunea 9.20 afișează incorect și numele unui fișier care începe cu null și nu va permite citirea sau despachetarea acestuia.

De asemenea, recenzia nu include arhivatorul WinZip. Sincer să fiu, nu mi-a plăcut din cauza dimensiunii, aspectului și reclamei în varianta neînregistrată. Cu toate acestea, în ceea ce privește avertizarea utilizatorului despre fișierele executabile și fișierele cu nume incorecte, acesta a trecut toate testele.
Fișierul sample.zip este un exemplu de creare a unei astfel de arhive. În interior se află un program cu o pictogramă notepad care lansează notepad. Nu face nimic altceva. Se ascunde din arhivatorul încorporat în Explorer, obligă WinRAR 5.3 să fie despachetat automat, afișează extensia .txt în versiunea 15 cu 7 zip
Un alt exemplu este Sample 2 pentru toate versiunile de 7-zip, WinRAR 3.8, Windows Explorer. Peste tot există un fișier cu extensia *.txt

Buna ziua!
Aș dori să vă prezint un articol atenției!
Voi spune imediat că designul poate fi puțin dezamăgit, dar cred că conținutul articolului este mult mai important decât designul său...
Asadar, haideti sa începem!
Totul probabil după asamblare "fara degete" vyry s-a întrerupt, mă refer la cazurile în care era pur și simplu imposibil să-l vândă..ivo:
Si cu mine a fost la fel...(de scurta durata)
Deci, despre ce este vorba? În acest manual vom încerca să ne încurcăm cu extensiile de fișiere și fișierele executabile de orice format.
Da, pentru ca un virus poate avea urmatoarele formate: *.exe *.scr *.com ei bine, acestea par a fi cele principale....*xD*
Ei bine, în general, pentru a începe iau "virus" format *.exe
Mai exact, în exemplu, folosesc un ansamblu „Colaps” modificat
Din ideile lui am luat pur și simplu un „instalator” cu ștergere automată...:dance4:
Deci, să începem! Mai întâi, descărcați sau creați un fișier pentru configurația dvs....:thx:

Ei bine, atunci descărcați programul!

Da, ai nevoie de un program, bineînțeles că o poți face manual, ceea ce am subliniat, dar cu un program este mai ușor și mai fiabil...
DESCARCA
Deci am descărcat... sunt 4 fișiere în arhivă....

Deci haideți să lansăm programul fără să ne pișăm))):angry:
Si vedem.....

Și așa....Acest program va crea 2 fișiere..Uită-te la captura de ecran de mai jos...

Deci in primul camp trebuie sa indicam Fișier sursă *.exe
În al doilea câmp trebuie să introducem un nume de fișier... să scriem citiți-mă.txt
Prin urmare, acest fișier va lansa Lamus
Și numim al doilea dosar informații despre fișier
Ei bine, pentru a deruta și producătorul: thxnext vom scăpa de el)
După ce totul este gata... Apăsați butonul...

În general, după rularea programului vom primi 2 fișiere..

Nu uitați să închideți programul, altfel va interfera cu noi))
Și acum voi explica ce a făcut programul nostru...
În general, destul de ciudat, totul este simplu!:thx:
Ea a redenumit acest fișier *.exe în *.info
DAR programul nu numai că redenumește, dar creează și un al doilea fișier... bineînțeles că este în format *.lnk
Adică o etichetă, dar puțini oameni vor acorda atenție acestui lucru... mai ales dacă alegi eticheta potrivită....:thx:
(scriitor de text)
Ei bine, atunci în câmpul acestei comenzi rapide.... Ea scrie „Obiectul” acestei comenzi rapide „%windir%\system32\cmd.exe /c file.info”
Și în câmpul „Dosar de lucru” scrie „%currentdir%”
Ei bine, cred că totul este clar aici
Adică, fișierul nostru file.info este lansat ca *exe prin linia de comandă (cmd)

CRED că toată lumea a înțeles ce este:thx:
Apoi facem clic pe butonul „Modifica pictograma”...
O puteți vedea în captura de ecran de mai sus...
În câmpul „Căutați pictograma....” inserați acest „%SystemRoot%\system32\SHELL32.dll”
Și selectați pictograma obișnuită a editorului de text...

Faceți clic pe OK peste tot... și obținem 2 fișiere...

Dar este mai dificil să aburi 2 fișiere decât 1:thx:
În această etapă, putem vinde victimei o arhivă sau un dosar obișnuit.. introduceți 3-4 imagini în ea.. adăugați datele a 2 fișiere acolo.. și ALL*mrgreen*
DAR suntem niște băieți cool și nu căutăm căi ușoare:af:
Atunci hai să continuăm!
O vom face puțin mai ușor...
În primul rând... să facem fișierul file.info „ascuns” (sper că știi cum să faci asta)
Proprietăți: Atribute/Ascuns..
Și acum, dacă victima nu are activată vizualizarea fișierelor ascunse, atunci nici măcar nu le va vedea! (Trebuie să vindeți întregul folder, deoarece aceste 2 fișiere trebuie să fie împreună)
Dar din nou, nu ne vom opri aici!oO
Suntem complet criptați...
O altă opțiune este să selectați formatul celui de-al doilea fișier *.nfo
Și primul videoclip, de exemplu... ei bine, sunt o mulțime de combinații...
Dar aici avem o anumită oportunitate.oO
Și anume (la urma urmei, hackerii includ vizionarea foldere ascunse)
Prin urmare, vor vedea ce este!
Dar vrem să găsim băieți tari (gândește-te la asta, de ce te mai chinui să-l scanezi singur)
Dacă pot acoperi computerul "hacker"și bucură-te de „viață”:angry:
Deci, dacă ai reușit să faci tot ce am descris mai sus, atunci hai să mergem mai departe.... :nebun:
AICI vom folosi pașii descriși mai sus pentru a implementa câteva trucuri:af:
Și anume, vor urma o mulțime de lucruri interesante))
Tot ce s-a întâmplat înainte au fost doar flori.oO
În general, următorul nostru pas va fi lansarea simultană nu numai a virusului, ci și scriitor de text)

De acord... dacă după ce facem clic pe pictograma tectovik tectovik-ul se deschide, utilizatorul va fi liniștit, iar noi suntem bucuroși să primim rapoartele :) În general, esența rămâne aceeași, dar înainte de a face toate acestea, trebuie să-l despachetăm noi insine..

Să luăm fișierul nostru... și un fel de fișier text... și folosind programul de conversie Bat to exe vom face despachetarea... pentru a face asta, creați un fișier numit 1.bat unde specificăm 2 comenzi.. .unul va lansa fișierul text, iar celălalt va lansa fișierul în sine *.exe după ce obținem fișierul exe...

Dar există unul DAR:diablo:
Fișierul tektovik, care în interior ar trebui să aibă un alt nume... față de ceea ce va fi creat de program mai târziu
Altfel vor fi bug-uri...
Ei bine, în general, esența este clară)) (Nu am făcut capturi de ecran, deoarece nu scriu un articol despre cum să faci un samaraspack)*mrgreen*

Ei bine, în general, această metodă cu samaraspack funcționează corect pe 7, dar pe xp sunt niște erori...

:nu stiu:
Ei bine, în general, ne vom opri aici... și ne vom gândi la cele de mai sus...
Bine? De fapt, asta nu este tot!

Hai sa continuăm!

oO
În general, acum vom scăpa radical de cel de-al doilea dosar!
Cum? (tu intrebi)
Da, foarte simplu!
În general, esența acțiunilor noastre este aceeași... dar vom acționa mai viclean)))
Și așa creăm din nou 2 fișiere cu formatul (orice format doriți)
și le aruncăm într-un folder separat, apoi în acest folder creăm un alt folder cu numele

Acest semn poate fi tastat ținând apăsată tasta Alt și tastând 0145 la rând

Avem nevoie de acest semn pentru ca utilizatorul să creadă că asta este pata pe ecran...
Și în acest folder aruncăm fișierul (redenumit virus)
Ei bine, atunci facem modificări la eticheta noastră, și anume în câmpul „Obiect” pe care îl introducem

%windir%\system32\cmd.exe /c „\1.nfo

adică adăugăm numele folderului...
Ei bine, te întrebi de ce îți complici viața?
Și aici vine șmecheria!
Facem din nou folderul ascuns, dar + adăugăm un avoo gol la tot
Adică proprietăți \ schimbă pictograma .. iar în Windows avs standard există un câmp gol, faceți clic pe el și voila!
Nu avem un folder!
Adică încurcăm complet utilizatorul!
Merge cam asa...

Cred că este aproape imposibil să treci prin asta!
Și până la urmă obținem un virus în format *.ink
sau doar un texter...
Cred că asta-i tot!
Am realizat un videoclip folosind una dintre metodele: af:
O sa fac poze cu restul in curand...

Articolul a fost scris în memoria resursei xaker26, care a fost închisă de polițiști/facepalm
Inițial am plănuit să donez acest articol acelei resurse, dar când eram pe cale să-l postez acolo, și-au închis capul....

Vreau să vă arăt o modalitate simplă și sigură de a ascunde fișierele folosind un truc simplu în Windows - ascundeți un fișier într-un fișier JPG.

De fapt, puteți ascunde orice tip de fișier în interiorul unui fișier imagine, inclusiv TXT, EXE, MP3, AVI sau orice altul. Nu numai că, puteți stoca un număr mare de fișiere într-un singur fișier JPG în loc de doar unul. Acest lucru poate fi foarte convenabil atunci când doriți să ascundeți fișiere și nu doriți să vă deranjați cu ransomware și alte metode de ascundere a fișierelor.
Pentru a finaliza această sarcină, trebuie să aveți fie WinZip, fie WinRAR instalat pe computer.

Iată pașii pentru a crea un cache ascuns:

Creați un folder pe hard disk, de exemplu, C: Testați și puneți acolo toate fișierele pe care doriți să le ascundeți. În același folder, încărcați fișierul imagine în care vom „împinge” fișierele ascunse.

Acum selectați toate fișierele pe care doriți să le ascundeți, faceți clic dreapta pe ele și selectați opțiunea de a adăuga fișiere în arhivă. Doar selectați fișierele pe care doriți să le ascundeți, nu fișierul hărții. Denumiți arhiva creată după cum doriți, de exemplu - „Hidden.rar”.

Acum aveți un folder care conține fișierul JPG și arhiva comprimată:

Acum iată partea distractivă! Faceți clic pe butonul Start și selectați Run. Tastați „CMD” fără ghilimele și apăsați Enter. Acum ar trebui să vedeți o fereastră de prompt de comandă. Introduceți „CD” pentru a ajunge la directorul rădăcină. Apoi introduceți comanda „CD Test” pentru a intra în folderul „Test”, care conține toate fișierele noastre.

Acum introduceți următorul rând (fără ghilimele): „ copy /b DSC06578.JPG + Hidden.rar DSC06578.jpg” și apăsați Enter. Dacă totul a mers bine, ar trebui să primiți un răspuns așa cum se arată mai jos:

Fișierul JPG a fost actualizat cu o arhivă comprimată în interior! Uită-te la dimensiunea imaginii rezultate, vei vedea că aceasta a crescut cu aceeași cantitate cu dimensiunea arhivei.

Puteți accesa fișierele ascunse în interiorul unei imagini în două moduri.
Mai întâi, schimbați pur și simplu extensia fișierului în .RAR și deschideți fișierul folosind WinRAR.
În al doilea rând, puteți pur și simplu să faceți clic dreapta pe imaginea JPG și să selectați „Deschide cu” și apoi să selectați „WinRAR”.

Asta e tot! Aceasta este o metodă excelentă și simplă, pur și simplu pentru că nu mulți oameni știu despre această posibilitate și nici măcar cei care știu nu vor putea bănui fișierele din imaginea ta.

Iar cei care nu o pot închide imediat.