to DVi: я отлично понимаю что имелось ввиду, мой пример скромный вариант использования п.1
Практика показывает что на слова люди не верят или просят продемонстрировать.Но здесь совсем другие люди я так понял
to firza: не надо инструкций. Файл с фальшивым расширением проше дропнуть.
А под инструкцией по ручному запуску я подразумеваю другой код:
Но это совсем не интересноКод:copy /y 1.jpg 1.exe 1.exe del /q 1.exe
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Хм...
что-то я не вижу чем этот пост противоречит тому (или говорит что-то новое), что было сказано выше в этой теме.
То, что возможно запустить без предварительных изменений в системе PE-файл с левым расширением было всем и так понятно - лишь было оговорено, что с небольшими извращениями - это тут уже немного показано - с командной строкой к примеру... т.е нужно было оговориться, что простой запуск без изменений в винде это не есть простой двойной клик мышой по значку....
Если с изменениями - то пожалуйста - двойной клик по ПЕ-файлу с левым расширением и он запущен...
Вот от первого пункта (с извращениями) я совершенно не вижу проку - не знаю зачем хацкеру или малваре (что более вероятно) запускать с подобными извращениями...
Если уж у юзера и лежит пинч в какой-то дремучей папке с левым расширением и он никуда не прописан и его никто не пробует запустить - то он выходит безвреден - как это юзер догадается, что его нужно руками найти и с извращениями запустить?..
Другое дело, если на компе куча файлов (более одного) вредоносного ПО одной "семьи" - вот тут им правда чихать на расширения мапить длл можно, плюя на ее расширения, а другие исполняемые файлы (свои с левым расширением) можно запускать через WinExec, а не через ShellExecute - просто и без выкрутасов с консолью или с кучей параметров у функции...
// ...
Речь шла о том, чтобы вторым этапом запустить "замаскированного в BMP" зверя с помощью отдельного "пускача".Сообщение от priv8v
Из спортивного интереса, естественно.
Ну про варианты этого пускача я далее пару слов сказал..., но здесь я говорил именно о случае без пускача и без попыток другого ПО или системы запустить данный файл - если он просто лежит - хотя такое вряд ли возможно без участия спортивного интересаРечь шла о том, чтобы вторым этапом запустить "замаскированного в BMP" зверя с помощью отдельного "пускача".
Вот и выходит - в технических сторонах у нас ни у кого противоречий по данному вопросу нет. Лишь есть у каждого свои сомнения по тому как к этому относиться
// ...
Ваши права в разделе
Ответить с цитированием
