Kho lưu trữ tự giải nén (SFX) với tư cách là Trình xử lý vi-rút sáng tạo
Hôm qua tôi đã tìm thấy và bài viết thú vị về “Kho lưu trữ tự giải nén (SFX)” trên Unremote.org của DarkCoderSc. SFX là một ứng dụng nhỏ chứa các tệp nén. Tạo một kho lưu trữ WinRAR SFX tùy chỉnh là một nhiệm vụ rất dễ dàng nhưng không phải ai cũng biết cách thực hiện. Do đó, nó hoàn toàn giống với một tệp .ZIP hoặc .RAR archive. Sự khác biệt duy nhất là khi bạn thực thi nó, nó sẽ tự động giải nén các tệp. Tuy nhiên, nếu bạn thêm một số tham số, bạn có thể thực thi chúng sau khi giải nén hoặc thực hiện lệnh shell trước khi giải nén. Vì vậy, tính năng này có thể được sử dụng là trình xử lý vi-rút tốt. Hãy xem cách thực hiện?
DarkCoderSc đã chia sẻ kinh nghiệm của anh ấy với chúng tôi bằng cách sử dụng Trình diễn video như hình bên dưới.
- Khởi động ứng dụng WinRAR; nhấp vào ‘Duyệt tìm thư mục’ trong menu ‘Tệp’ và duyệt đến vị trí của tệp.
- Khi tệp được đánh dấu, nhấp vào nút ‘Thêm’ sẽ bắt đầu quá trình lưu trữ và chọn tùy chọn ‘Tạo tệp lưu trữ SFX’ sẽ cung cấp cho tệp tính năng tự giải nén.
- Trong tab ‘Nâng cao’ và nhấp vào nút ‘Tùy chọn SFX’, tại đây chúng ta có thể định cấu hình ‘Tùy chọn SFX nâng cao’ của mình.
- Trong trường nhập đầu tiên, bạn có thể thêm tên tệp đã tồn tại trên ổ đĩa hiện tại hoặc một trong các tệp được giải nén để thực thi sau quá trình giải nén.
- Trong trường nhập thứ hai, bạn có thể thêm tên tệp đã tồn tại trong ổ đĩa hiện tại để thực thi trước khi giải nén.
PHẦN 1: Chạy các lệnh Windows Shell cơ bản bằng SFX:
Trong đầu vào đầu tiên, hãy nhập lệnh này nếu chúng tôi tạo gói SFX và chạy nó sau khi giải nén, chúng tôi thấy cửa sổ DOS và thông báo cửa sổ cho biết máy tính của chúng tôi sẽ tắt sau 1 giờ.
Ví dụ 2: %SYSTEMDRIVE%\windows\notepad.exe c:\atextfile.txt
Bạn có thể thực hiện việc này với bất kỳ ứng dụng hiện có nào khác trên hệ thống, chẳng hạn như mở tệp notepad.
Ví dụ 3: %SYSTEMDRIVE%\Program Files\Internet Explorer\iexplore.exe https://unremote.org/
Mở một trang web bằng Internet Explorer
PHẦN 2: Chạy các lệnh phức tạp nâng cao bằng SFX
Chỉ sử dụng một ít .dll trong gói SFX, kẻ tấn công có thể tải xuống và thực thi một ứng dụng trên hệ thống của nạn nhân có thể hoặc không thể là vi-rút và Đối với điều này, chúng tôi chỉ yêu cầu “Ứng dụng Microsoft Rundll32” Và “Trình biên dịch FASM (Flat Assembler)“.
Bây giờ Tạo một thư mục mới và một tệp mới có tên mydll.asm khi hoàn thành, hãy mở tệp này trong FASM và dán mã này vào tệp. Chỉnh sửa đường dẫn đến Tệp trong Mã mẫu cho mục đích sử dụng cá nhân.
Bây giờ trong thanh menu, nhấp vào “Chạy” >> “Biên dịch”. Dll của chúng tôi đã sẵn sàng, Hãy tạo trình tải xuống tệp SFX của chúng tôi.
Bạn cần làm theo các bước tiếp theo:
– Nhấp chuột phải vào dll và nhấp vào “Thêm vào lưu trữ” << tùy chọn WinRAR explorer
– Chọn gói SFX trong danh sách tùy chọn
– Chuyển đến tab Cài đặt nâng cao
– Nhấp vào nút Cài đặt SFX
– Trong giải nén để nhập thêm dòng này – “%APPDATA%\dcsc\ourdll.dll“
– Tại tham số đầu vào nhập dòng này
%SYSTEMDRIVE%\windows\system32\rundll32.exe %APPDATA%\dcsc\ourdll.dll, dcscdownload
Bây giờ chúng tôi có thể tạo kho lưu trữ của mình, nếu chúng tôi đã thiết lập đúng SFX, thì nó sẽ tải xuống và thực thi tệp đã chọn sau khi trích xuất đầy đủ.
PHẦN 3: SFX là sát thủ hệ thống
Trình quản lý SFX bao gồm hai chức năng nguy hiểm khác (Chạy với tư cách quản trị viên và Xóa tệp sau khi giải nén). Tùy chọn Chạy với tư cách quản trị viên sẽ yêu cầu chạy nó với tư cách quản trị viên, vì vậy SFX sẽ có tất cả các quyền trên hệ thống và sau khi giải nén, các tệp xóa sẽ hữu ích để thực hiện những việc có hại trong hệ thống.
