D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
И так, .cab формат. Оффициальная сводка википедии гласит - формат файлов архивов, применяющийся в операционных системах семейства Microsoft Windows. Формат поддерживает сжатие и цифровые подписи. Используется в различных технологиях установщиков Microsoft: Setup API, Driver Package Installer, etc...
Достаточно интересный файл как внешне так и внутренне. Что мы имеем? Можно подписывать EV подписью, закрытый тип сжатых данных, создается прямо из консоли windows, можно добавлять в архив 2 и более файлов. И самое главное, все работает из "коробки" и сторонние архиваторы для работы с ним не требуются.
Создаем свой первый .cab архив. Запускаем cmd.exe и вводим команду makecab Document_Feb_738.docx.exe
При открытии внутри видим обычный .exe файл. Иконка приложения.
1. Первая особенность формата заключается в том что используя любой HEX редактор, можно добавить в конец имени запакованного файла любые символы, и при распаковке проводник windows сам преобразует название документа и сотрет неприемлемые знаки. Таким образом мы можем сменить тип файла который лежит в архиве. Пред просмотр покажет пустую иконку и неизвестный тип. Пробуем?
Для начала переименуем наш Document_Feb_738.docx.exe в Document_Feb_738.docx__________________________________________________________________________________________.exe
Снова создаем архив командой makecab Document_Feb_738.docx__________________________________________________________________________________________.exe
И открываем полученный .cab в HEX редакторе.
Меняем байты в названии упакованного файла и затираем '_' пробелами. Что бы получилось как то так.
Обратите внимание что обязательно в конце названия должен быть символ пробела после расширения файла. Стрелочка показывает на него. Красным выделена та область где символ '_' был затерт символом пробела.
Сохраняем файл и открываем в проводнике снова. Видим уже более сносную картину которая не вызовет у пользователя подозрений при запуске.
Файл похож на документ, пусть и без иконки.
Распаковываем на рабочий стол и видим
Удачи мои друзья-хакеры, и, не засиживайтесь в сетях.
Достаточно интересный файл как внешне так и внутренне. Что мы имеем? Можно подписывать EV подписью, закрытый тип сжатых данных, создается прямо из консоли windows, можно добавлять в архив 2 и более файлов. И самое главное, все работает из "коробки" и сторонние архиваторы для работы с ним не требуются.
Создаем свой первый .cab архив. Запускаем cmd.exe и вводим команду makecab Document_Feb_738.docx.exe
При открытии внутри видим обычный .exe файл. Иконка приложения.
1. Первая особенность формата заключается в том что используя любой HEX редактор, можно добавить в конец имени запакованного файла любые символы, и при распаковке проводник windows сам преобразует название документа и сотрет неприемлемые знаки. Таким образом мы можем сменить тип файла который лежит в архиве. Пред просмотр покажет пустую иконку и неизвестный тип. Пробуем?
Для начала переименуем наш Document_Feb_738.docx.exe в Document_Feb_738.docx__________________________________________________________________________________________.exe
Снова создаем архив командой makecab Document_Feb_738.docx__________________________________________________________________________________________.exe
И открываем полученный .cab в HEX редакторе.
Меняем байты в названии упакованного файла и затираем '_' пробелами. Что бы получилось как то так.
Обратите внимание что обязательно в конце названия должен быть символ пробела после расширения файла. Стрелочка показывает на него. Красным выделена та область где символ '_' был затерт символом пробела.
Сохраняем файл и открываем в проводнике снова. Видим уже более сносную картину которая не вызовет у пользователя подозрений при запуске.
Файл похож на документ, пусть и без иконки.
Распаковываем на рабочий стол и видим
Удачи мои друзья-хакеры, и, не засиживайтесь в сетях.