А вот и дополняющая статья к статье про Маскировку трояна! ----- Надеюсь, вы уже представляете себе что такое джоинеры и для чего их можно использовать ... если нет , советую вам прочитать вот это.... Признаным лидером среди программ такого класса является MicroJoiner от coban2k ... о нем вы можете прочитать по ссылке выше. Но его недостатком ( а скорее следствием уровня и популярности программы) является то, что этот джоинер занесен в антивирусные базы. Поэтому даже если вы с его помощью склеите вполне безобидные файлы (скажем стандартный Блокнот и совю фотограафию), антивирус будет ругаться на результирующий файл. Сегодня мы будем клеить файлы, причем так, что при безобидном содержимом, склейка не будет вызывать нареканий у самого подозрительного антивируса. Для начала нам понадобиться неплохой архиватор WinRAR. Здесьвы можете скачать его русскую версию. Немного теории. Существует много форматов архивных файлов. И если у вас есть архив, вам необходима программа, для извлечения из него файлов ( если конечно архив не zip, а система не Windows XP). Это не всегда удобно, потому что не всегда есть уверенность что у пользователя есть соответствующий архиватор для распаковки данных . Поэтому были создана технология SFX,от англ. SelF-eXtractingархивов. Таким образом: SFX-архив -- это программа, которая при запуске самостоятельно извлекает все заархивированные в ней файлы. Это первая функция джоинеров- соединять несколько файлов в один. Но простой распаковки мало. Джоинер должен еще и запускать распакованные файлы на исполнение. Для этого при создании SFX-архива, нужно указать соответствующие опции. Далее речь пойдет именно о работе с WinRAR. У некоторых других архиваторов, данные функции отсутствуют. Для начала разберемся с созданием SFX-архива и запуском файла. После установки WinRAR в контестном меню файлов появиться пункт Добавить в архив... , им то мы и воспользуемя. Выберем файлы в проводнике ( для удобства скопируйте их в отдельную папку) и вызовите для них контекстное меню (щелчек правой кнопкой мыши), далее выбирайте пункт добавить в архив. Я буду склеивать 2 файла: блокнот ( notepad.exe) и обычный текстовый файл). После того как вы выберете Добавить в ахив... вы увидите вот такое окно: Здесь вы можете выбрать имя создаваемого архива, формат архива ( zip или rar) а также отметить дополнительные опции. Здесь важным является отметить пункт Создать SFX-архив , именно он даст нам нужные возможности. Немного о других настройках:рекомендую вам бырать тип архива RARи степень сжатия максимальную , это уменьшит размер файла получаемого в итоге. После настроек в первом окне, перейдем на вкладку Дополнительнои нажмем кнопку Параметры SFX(если она не активна, значит вы не отметили опцию Создать SFX-архив на первой вкладке ). После чего увидим окно настроек параметров SFX-модуля. Пункты которые нас будут интересовать, зависят от целей с которыми мы создаем наш архив. Поскольку мы пытаемся заменить джоинер нам нужно: 1) незаметная работа распаковщика, что бы по позможности не выводилось никаких окон 2) возможность выбора папки в которую файлы будут извлекаться 3) возможность выбора иконки 4) возможность запуска файлов после распаковки Пройдемся по пунктам: 1) В окне "Дополнительные параметры SFX"переходим на вкладку Режимы и отмечаем пункт Скрыть все и Перезаписывать все файлы( как альтернатива этому пункту Пропускать существующие файлы . Теперь при запуске архива не будет выводиться никаких окон. 2) В том же окне влкадке Общие нас будет интересовать путь для распаковки. Можно здесь прописть путь к папке в которую будут извлекаться файлы. Все файлы будут извлекаться в одну папку. Если вас это не устраивает, ниже вы сможете найти описание способа как это исправить. Замечание:некоторые программы ( скажу прямо - трояны) удобно запускать из папки Windows. Но тут нужно заметить что путь "C:\Windows" не всегда справедлив. Поэтому если вы хотите записать ваши файлы из папки Windows или одной из подпапок ( например всеми любимой system32) напишите в полее ввода пути следующее %windir%( ну или %windir%\system32, соответственно). %windir% -это переменная окружения (системы), в которой храниться путь к папке Windows. На рисунке показано как излечь файлы в папку Windows. 3) Иконку для результирующего исполняемого файла можно выбрать на вкладке Текст и значек , нажав на кнопку Обзор. К сожалению (а может и нет), иконку можно выбирать только из файлов иконок *.ico. Здесь нет возможности поиска по исполняемым файлам как в MicroJoiner. Нужную вам иконку можно извлечь из файлов при помощи специальных программ - редакторов ресурсов. Несколько иконок вы можете найти в этом архиве. 4) Запустить программу после рапаковки можно заполнив поле Выполнить после распаковки на закладке Общие . Там можете вписать имя файла который вы хотите запустить. Здесь небольшая остановка. Файл можно выполнить один, а при работе с джоинерами, нужно запустить если не все, то хотя бы два файла ( один - основной, второй для маскировки). Решение в таком случае: нужно что бы один файл запускал несколько программ ( толкьо не подумайте что тут поможет другой джоинер, здесь немного другое). Тут уже идут небольшие вариации. a)Можно написать программу ктороая будет запускать нужные файлы. Вообще-то я считаю этот вариант для программистов . Хотя как будет видно дальше у него есть преимущества. программа на самом деле простая. Если тебе интересно загляни в Приложение 1 б)Написать скрипт, кторый бы запускал нужные файлы. при этом конечно нельзя использовать например Perl или PHP ( не так часто у пользователи ставят интерпритаторы скиптовых языков). Но в Windows есть встронные скриптовые языки. например VBS( начиная с Windows98) и конечно язык batили cmdфайлов. Второй гораздо проще в освоении. Его и рассмотрим. Для запуска программ и файлов ( вернее запускаются не сами файлы, а программы с которыми те ассоциированы, в параметре которым передается имя файла) используется команда start . Подробнее про нее можно узнать набрав в командной строке Windows ( Пуск -> Выполнить -> cmd.exe) start /? . Или например здесь. И так что бы например запустить программу notepad.exe , картинку "3331.jpg", и текстовый файл Test.txt создадим в папке с этими файлами файл run.cmdследующего содержания: Code: start notepad.exe start 3331.jpg start Test.txt exit если вы теперь запустите этот файл вы увидите блокнот, рисунок, и текст (конечно эти файлы должны лежать в тойже папке). Теперь создавая SFX-архив добавьте к вашим файлам файл run.cmd , а в поле Выполнить после распаковки впишите его имя : run.cmd . Если вы все сделали правильно, при запуске вашего архива вы увидите картинку, блокнот, и текстовый файл. Единственным недостатком этого метода является появление окна командной строки. Которое сразу пропадает, но все же вызывает подозрение. Решить эту проблему можно при помощи программы Quick Batch File Compilerкоторая создает из коммандных файлов, обычные исполняемые. Одна из опций программы позволяет не выводить никаких окон на экран при выполнении. Однако файл создаваемый этой программой достаточно большой по размеру ( порядка 150 килобайт) что не очень удобно. Так что если вас не устраивает мелькающее окно вам, возможно, тоже помогут Приложения( смотрите ниже). Итак теперь вы можете сделать почти все, что может понадобиться при работе с джоинерами. Пару замечаний:если вам нужно разместить файлы в разных папках, это можно сделать при помощи команд копирования. прописать свою программу в автозагрузку, или сделать другую запись в реестр можно включив в состав архива, заранее созданный, файл реестра. Для этого сначала нужнобудет вручную создать нужный ключ в реестре вашего компьютера. А потом воспользоваться пунктом Экспортв меню Файлредактора реестра ( regedit.exe ). Добавление информации из такого файла, без подтверждения со сотроны пользователя можно осуществить командой regedit /s <имя файла реестра>. при этом не появится обычное окно с просьбой подтвердить изменения. Вот ваш собственный джоинер и готов. Некоторые могут сказать, что троянские программы при таком соединении файлов все равно определяются антивирусом. НО! Да MicroJoiner шифрует файлы внутри себя. Но если распакованный файл засекается антивирусом, то даже при извлечении из шифрованного архива он будет замечен антивирусным монитором в момент записи файла на диск и попытке его запустить. Так что прятать троян все равно придется. Приложение 1 на самом деле выполнять команды системы и запускать файлы очень просто при помощи WinAPI функции ShellExecute. Программисты сделают это сами. Осальные же могут скачать вот этот архив. В нем находится компилятор и линковщик языка Ассемблера MASM, а так же вспомогательные файлы. Нужно просто открыть файл RunFiles.batи в строчках Code: PC db "http://vipusers.net",0 TC db "1.bmp",0 в кавычках прописать файлы которые вы хотите запустить. после чего сохранить файл и запустить его на исполнение. В результате будет создан файл RunFiles.exe(всего 2 килобайта) который нужно будет добавить в ваш архив и указать его на исполнение после распаковки. Приложение 2 для запуска файлов и программ вы можете создать файл vbs примерно вот такого содержания: runfiles.vbs: Code: On Error Resume Next var shell = Wscript.CreateObject("Wscript.Shell") shell.run "notepad.exe",5,true shell.run "http://vipusers.net",5,true где в ковычках после shell.run записаны команды которые нужно выполнить. Если после команды стоит 5 - программа запустится как обычно, если же поставить 0, то программа запуститься, но ее окно (если оно есть) на экране не появится. Этот скрипт нужно добаить в архив и установить на исполнение после рапаковки. Скрипт работает незаметно, не выдавая никаких окон. Работает на системах начиная с Windows98. НО! иногда в целях повышения безопасности или ,например, при обрезании системы, удаляется компонент WSH. в следствии чего такие скрипты обрабатываться не будут. ----- (с)vipusers.net
спасибо за статью вроде всё сделал верно но когда запускаю фаил exe вылетает ошибка Windows не удалось найти 'run.cmd' помогите разобраться с этим
Теперь создавая SFX-архив добавьте к вашим файлам файл run.cmd , а в поле Выполнить после распаковки впишите его имя : run.cmd . Но метод палевный имхо. Я как-то делал так, окно командной строки палится.
