Импорт ресурсов из исполняемых файлов. Расширяем структуру автозапуска.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 22.12.2013 20:43:29

Работа с ресурсами.
Для просмотра ресурса файла в меню выбрать импорт из...

http://soft.oszone.net/program/15716/Resoor/

http://soft.oszone.net/program/3216/Resource_Builder/

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 22.12.2013 21:30:08

Для сравнения.
1) Зверь. ( я их не собираю - у кого есть сравните с легальными программами )
2) Программа шутка. ( с диалогом )
3) Системный файл. ( просто подмену можно распознать за 5 - ть секунд )
фото примеры в архиве.

Прикрепленные файлы

пример.zip (199.44 КБ)

Изменено: RP55 RP55 - 23.12.2013 22:25:45

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.12.2013 07:14:07

я думаю, здесь одним примером не обойтись. в какие структуры автозапуска предполагается закачивать инфо, какую именно инфо, какие при этом будут характерные критерии. (пока нет возможности этим заниматься, пока не решены первоочередные задачи.)

Изменено: santy - 23.12.2013 22:25:45

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.12.2013 18:03:41

1) Чтобы не увеличивать вес образа автозапуска сохранять минимум информации.

* Отсутствие данных это уже данные.
То, что содержит белый файл.
Данные по: Cursor; Icon; Dialog
Курсоры - вирусу курсоры ненужны...
Если данного ресурса нет в файле...
Иконки - могут быть.
Диалоги - могут быть. ( общее число символов диалога ? например 400 )

Пример легитимного объекта:
Cursor 100-12
Icon 100-1-2; 101-3-4; 102-5; 205-6-7-8

Таким образом объект ХХХ.exe
Содержит курсоров: _1_
Иконок _8_

В образе в инфо. видим:
----------
Cursor 100-12
Icon 100-1-2; 101-3-4; 102-5; 205-6-7-8
----------
В белом критерии можем настроить.
И + И + И. ( или )

В сочетании со стандартной информацией.
Директория + имя + производитель + Cursor + Icon
Если вдруг у файла отсутствует/изменено один из параметров...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.12.2013 19:10:19

а если в разных системах у регедит будет различное чисто иконок? тогда под каждую систему свой критерий будет?

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.12.2013 19:39:45

Цитата
santy пишет: Если в разных системах у регедит будет различное чисто иконок?

Это пример.
Можно же задать пустое значение для Icon
Или по наличию первой из них 100-1-2
По принципу: Да есть иконки...

Если оператору это будет необходимо - то и для каждой системы можно задать значение через ИЛИ.
Если речь об основных системных файлах - то это не так много...
Ещё раз подчёркиваю.
Это ЧАСТЬ информации.
Доп. данные позволят настроить критерий.
Защитить от ложных определений.
+
У зверья ресурсов практически нет ( это повод для оператора задуматься )
------------
Если говорить Не о работе с образами...
Оператор в контекстном меню выбирает команду: "Просмотр ресурсов файла"
И видит, что файл содержит...
Можно определить подмену для ряда системных файлов.
Рассеять или укрепить своё подозрение ( нет иконок, нет диалогов и т.д )
Всё это нужно оценивать в комплексе...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.12.2013 20:50:06

Сравни: чистый rpcss.dll

Цитата
Length Of Struc: 0394h Length Of Value: 0034h Type Of Struc: 0000h Info: VS_VERSION_INFO Signature: FEEF04BDh Struc Version: 1.0 File Version: 5.1.2600.5755 Product Version: 5.1.2600.5755 File Flags Mask: 0.63 File Flags: File OS: NT (WINDOWS32) File Type: DLL File SubType: UNKNOWN File Date: 00:00:00 00/00/0000 Struc has Child(ren). Size: 824 bytes. Child Type: StringFileInfo Language/Code Page: 1033/1200 CompanyName: Microsoft Corporation FileDescription: Distributed COM Services FileVersion: 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234) InternalName: rpcss.dll LegalCopyright: © Microsoft Corporation. All rights reserved. OriginalFilename: rpcss.dll ProductName: Microsoft® Windows® Operating System ProductVersion: 5.1.2600.5755 Child Type: VarFileInfo Translation: 1033/1200

Цитата

Length Of Struc: 0394h
Length Of Value: 0034h
Type Of Struc: 0000h
Info: VS_VERSION_INFO
Signature: FEEF04BDh
Struc Version: 1.0
File Version: 5.1.2600.5755
Product Version: 5.1.2600.5755
File Flags Mask: 0.63
File Flags:
File OS: NT (WINDOWS32)
File Type: DLL
File SubType: UNKNOWN
File Date: 00:00:00 00/00/0000

Struc has Child(ren). Size: 824 bytes.

Child Type: StringFileInfo
Language/Code Page: 1033/1200
CompanyName: Microsoft Corporation
FileDescription: Distributed COM Services
FileVersion: 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234)
InternalName: rpcss.dll
LegalCopyright: © Microsoft Corporation. All rights reserved.
OriginalFilename: rpcss.dll
ProductName: Microsoft® Windows® Operating System
ProductVersion: 5.1.2600.5755

Child Type: VarFileInfo
Translation: 1033/1200

и rpcss.dll ( Win32.Patched)

Цитата
Length Of Struc: 0394h Length Of Value: 0034h Type Of Struc: 0000h Info: VS_VERSION_INFO Signature: FEEF04BDh Struc Version: 1.0 File Version: 5.1.2600.5755 Product Version: 5.1.2600.5755 File Flags Mask: 0.63 File Flags: File OS: NT (WINDOWS32) File Type: DLL File SubType: UNKNOWN File Date: 00:00:00 00/00/0000 Struc has Child(ren). Size: 824 bytes. Child Type: StringFileInfo Language/Code Page: 1033/1200 CompanyName: Microsoft Corporation FileDescription: Distributed COM Services FileVersion: 5.1.2600.5755 (xpsp_sp3_qfe.090206-1316) InternalName: rpcss.dll LegalCopyright: © Microsoft Corporation. All rights reserved. OriginalFilename: rpcss.dll ProductName: Microsoft® Windows® Operating System ProductVersion: 5.1.2600.5755 Child Type: VarFileInfo Translation: 1033/1200

Цитата

Length Of Struc: 0394h
Length Of Value: 0034h
Type Of Struc: 0000h
Info: VS_VERSION_INFO
Signature: FEEF04BDh
Struc Version: 1.0
File Version: 5.1.2600.5755
Product Version: 5.1.2600.5755
File Flags Mask: 0.63
File Flags:
File OS: NT (WINDOWS32)
File Type: DLL
File SubType: UNKNOWN
File Date: 00:00:00 00/00/0000

Struc has Child(ren). Size: 824 bytes.

Child Type: StringFileInfo
Language/Code Page: 1033/1200
CompanyName: Microsoft Corporation
FileDescription: Distributed COM Services
FileVersion: 5.1.2600.5755 (xpsp_sp3_qfe.090206-1316)
InternalName: rpcss.dll
LegalCopyright: © Microsoft Corporation. All rights reserved.
OriginalFilename: rpcss.dll
ProductName: Microsoft® Windows® Operating System
ProductVersion: 5.1.2600.5755

Child Type: VarFileInfo
Translation: 1033/1200

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.12.2013 21:13:26

Santy
А что есть надёжные методы определения для rpcss.dll ?
Хоть один кроме отсутствия Ц.подписи ?
---
Не нужно...

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.12.2013 21:20:37

не вижу смысла обсуждать это здесь . Иначе получится один большой офтоп. А раздел предназначен не для офтопа, а для оказания помощи пользователям. Что мешает тебе открыть тему на АМ?

Изменено: santy - 23.12.2013 22:24:06

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.12.2013 21:46:33

Одну тему можно и обсудить ?
Не так и часто ведутся такие обсуждения.
на АМ? - чтобы народ не нервировать.
Того же Smit-а
----------
Предложение актуально для файлов типа .exe и ряда dll
----------
Просто предлагаю скачать программы - открыть разные файлы - сравнить ...
И написать своё мнение...
Santy
Если предложение заслуживает внимания и доп обсуждения открой тему на АМ...

Изменено: RP55 RP55 - 23.12.2013 22:24:06