Discussion :

[Ashuzi]

Bonjour,

J'aimerais savoir si il y'a un réel moyen de protéger des codes en batch.

En effet j'ai tenté d'utiliser un compiler (Quick Batch, Batch Compiler) ou d'autres combines mais tout est retrouvable avec une extraction de la mémoire, c'est très facile. (Par exemple avec Process Hacker)
Je pense qu'avec une vraie offuscation bien réalisée (Pas comme JsBatchObfuscator..) il y aurait moyen de protéger correctement un code mais le problème c'est qu'aucun code publique ne permet cela. (Je n'ai aussi pas vraiment les compétences de le réaliser.)

Je sais que la réponse facile est: "change de langage" mais j'aimerais vraiment sécuriser du batch (et je pense que c'est possible).

Si vous pouvez m'aidez ou m’éclaircir sur le sujet, allez-y !

[hackoofr]

Testez ce script batch : Juste faites un glisser et déposer de votre batch afin d'être encoder

Code BAT :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
@echo off
Title Encoding Batch Files With CERTUTIL Utility by Hackoo 2018
color 0A & Mode 80,5
If "%~1"=="" ( 
    color 0C & Mode 80,3
    echo(
    echo       You should drag and drop a file over this batch script to be encoded !
    Timeout /T 5 /nobreak>nul & exit /b
)
@for /f %%i in ("certutil.exe") do if not exist "%%~$path:i" (
  echo CertUtil.exe not found.
  pause
  exit /b
)
>"temp.~b64" echo(//4mY2xzDQo=
set "BOM_File=%~n1"
certutil.exe -f -decode "temp.~b64" "%BOM_File%"
del "temp.~b64"
@Copy "%BOM_File%" /b + "%~1" /b >nul 2>&1
 
set "TempFile=%Temp%\Temp_b64
set "OutputFile=%BOM_File%_encoded%~x0"
If exist "%OutputFile%" Del "%OutputFile%" >nul 2>&1
echo(
certutil.exe -f -encode "%BOM_File%" "%TempFile%"
(
    echo @echo off 
    echo Title Execution of "%~nx1" by Hackoo 2018
    echo Set "R=%%Random%%.cmd"
    echo CERTUTIL -f -decode "%%~f0" "%%Temp%%\%%R%%" ^>nul 2^>^&1 ^& "%%Temp%%\%%R%%"
    echo Exit
)> "%OutputFile%"
 
@Copy "%OutputFile%" /b + "%TempFile%" /b >nul 2>&1
If exist "%TempFile%" Del "%TempFile%" >nul 2>&1
If exist "%BOM_File%" Del "%BOM_File%" >nul 2>&1
Timeout /T 2 /NoBreak>nul

[Ashuzi]

Merci de ton aide ! Je vais vérifier ça plus tard (voir si ça fonctionne bien.) j'essayerai de protéger un fichier avec puis d'essayer de récupérer les sources

Malheureusement les codes sont assez facilement retrouvables, c'est un peu comme JsBatchObfuscator ça protège mais pas assez :/ Merci beaucoup de ton aide cependant.

[hackoofr]

Malheureusement les codes sont assez facilement retrouvables, c'est un peu comme JsBatchObfuscator ça protège mais pas assez :/ Merci beaucoup de ton aide cependant.

Avez-vous editer le fichier batch dans le dossier temporaire avec Notepad ou bien Notepad++ ?
Dis-moi est-ce-que le code est bien lisible ou non ?

[Ashuzi]

Avez-vous editer le fichier batch dans le dossier temporaire avec Notepad ou bien Notepad++ ?
Dis-moi est-ce-que le code est bien lisible ou non ?

En effet le code n'est pas lisible mais il est facile à retrouver en lisible

[hackoofr]

En effet le code n'est pas lisible mais il est facile à retrouver en lisible

Donc dans le cadre d'améliorer mon dernier code, ça m'intéresse beaucoup de m'expliquer en détail surtout dans mon cas comment avez-vous trouvé le code original !

[Ashuzi]

Donc dans le cadre d'améliorer mon dernier code, ça m'intéresse beaucoup de m'expliquer en détail surtout dans mon cas comment avez-vous trouvé le code original !

Je prendrai le temps de t'expliquer le plus en détails possible demain ou quand j'aurai le temps

[Ashuzi]

Donc dans le cadre d'améliorer mon dernier code, ça m'intéresse beaucoup de m'expliquer en détail surtout dans mon cas comment avez-vous trouvé le code original !

Salut, tu possèdes Discord ? Pour me faciliter la tache et te poser quelques questions sur ton code aussi !

[ericlm128]

La récupération du code originale ne semble pas très compliqué à partir du moment où il est écrit sur le disque dur en clair, ne serais ce que pour son exécution.
Un simple outil gratuit de récupération de fichier fait l'affaire.
Je l'ai déjà pratiqué.

[Ashuzi]

La récupération du code originale ne semble pas très compliqué à partir du moment où il est écrit sur le disque dur en clair, ne serais ce que pour son exécution.
Un simple outil gratuit de récupération de fichier fait l'affaire.
Je l'ai déjà pratiqué.

Merci de ta réponse, en effet même les "compiler" payants à plus de 100€ la licence ne protège rien si le code est en exécution, il suffit d'installer Process hacker et de dump, fin bref.
Tu pourrais m'aider ou m'avancer sur une piste pour brouiller au mieux un code en batch, une bonne offuscation vraiment complexe à contrer je parle (même si je prend en compte qu'il sera toujours possible de retrouver le code original.)

[ericlm128]

Ce projet ne m’intéresse pas.
Se prendre la tête à faire quelques choses que nous savons voué à l’échec.

Prend ce que propose hackoofr ou une autre technique existante, voir change de langage.

[Ashuzi]

Ce projet ne m’intéresse pas.
Se prendre la tête à faire quelques choses que nous savons voué à l’échec.

Prend ce que propose hackoofr ou une autre technique existante, voir change de langage.

Premièrement la réponse "change de langage" est inutile étant donné que le but est de protéger au maximum un fichier BAT, ensuite malgré que le code sera retrouvable d'une manière ou d'une autre il y a certainement moyen de protéger celui-ci au maximum, que le code soit le mieux brouillé possible ! C'est ça le but final, car actuellement publiquement aucune offuscation ne permet vraiment ça.

[ericlm128]

Tu peux commencer à réfléchir à une obfuscation qui te conviendrait.
La conversion peux être réalisé par un outil codé en autre chose que le batch.

[Ashuzi]

Tu peux commencer à réfléchir à une obfuscation qui te conviendrait.
La conversion peux être réalisé par un outil codé en autre chose que le batch.

Justement ! J'ai déjà vu des offuscations réalisées en JS, je me demandais quel langage serait le plus convenable ?

[ericlm128]

Peut importe, celui avec lequel tu est le plus à l'aise pour réaliser ton offuscation.

[Ashuzi]

Je cherche donc des gens qui peuvent m'aider pour ce projet, si vous avez des informations, des codes, s'il vous plait partagez-moi ça !

[hackoofr]

Je cherche donc des gens qui peuvent m'aider pour ce projet, si vous avez des informations, des codes, s'il vous plait partagez-moi ça !

@Ashuzi
Voici dans la pièce-jointe un batch file en clair mais avec caractères chinois
Dis-moi comment vous pouvez le décoder en texte lisible, je veux dire votre méthode ( question pour @Ashuzi seulement )
@+

[Ashuzi]

J'accepte le défi ! Haha, je t'envoies le code dès que j'ai fini (je ne peux pas maintenant en fin de journée je devrai pouvoir)

[Ashuzi]

@Ashuzi
Voici dans la pièce-jointe un batch file en clair mais avec caractères chinois
Dis-moi comment vous pouvez le décoder en texte lisible, je veux dire votre méthode ( question pour @Ashuzi seulement )
@+

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
ÿþ&cls
@echo off
Title Extract CommandLine Of Running Processes by Hackoo 2020
Mode 110,10 & color 0A
Set "TmpFile=%~n0_Abs_cmdline.txt"
Set "LogFile=%~n0_cmdline.txt
If Exist "%TmpFile%" Del "%TmpFile%"
If Exist "%LogFile%" Del "%LogFile%"
Set ProcessNames="cmd.exe" "mshta.exe" "powershell.exe" "cscript.exe" "wscript.exe" 
SetLocal EnableDelayedExpansion
for %%A in (%ProcessNames%) Do (
	Call :GetCommandLine %%A ProcessCmd
	If defined ProcessCmd ( 
		echo !ProcessCmd!>con
		echo !ProcessCmd!>>"%TmpFile%"
	)
)
Timeout /T 3 /NoBreak>nul
If Exist "%TmpFile%" Call :Extract "%TmpFile%" "%LogFile%"
If Exist "%LogFile%" Start "" "%LogFile%"
If Exist "%LogFile%" Call :ExplorerIT "%LogFile%"
Exit
::---------------------------------------------------------------------------------------------------------------
:GetCommandLine <ProcessName> <ProcessCmd>
Set "ProcessCmd="
for /f "tokens=2 delims==" %%P in (
'wmic process where caption^="%~1" get commandline /format:list ^| findstr /I "%~1" ^| find /I /V "%~nx0" 2^>nul'
) do (
	if not defined %2 Set "%2=%%P"
)
Exit /b
::---------------------------------------------------------------------------------------------------------------
:Extract <InputData> <OutPutData>
(
echo Data = WScript.StdIn.ReadAll
echo Data = Extract(Data,"(^?^!.*(\x22\w^)^)\b.*(\w^).*(\.ps1^|\.hta^|\.vbs^|\.vbe^|\.cmd^|\.bat^|\.lnk^)"^)
echo WScript.StdOut.WriteLine Data
echo Function Extract(Data,Pattern^)
echo    Dim oRE,oMatches,Match,Line
echo    set oRE = New RegExp
echo    oRE.IgnoreCase = True
echo    oRE.Global = True
echo    oRE.Pattern = Pattern
echo    set oMatches = oRE.Execute(Data^)
echo    If not isEmpty(oMatches^) then
echo        For Each Match in oMatches  
echo            Line = Line ^& chr(34^) ^& Trim(Match.Value^) ^& chr(34^) ^& vbcrlf
echo        Next
echo        Extract = Line 
echo    End if
echo End Function
)>"%tmp%\%~n0.vbs"
cscript /nologo "%tmp%\%~n0.vbs" < "%~1" > "%~2"
If Exist "%tmp%\%~n0.vbs" Del "%tmp%\%~n0.vbs"
exit /b
::-----------------------------------------------------------------------------------------------------------
:ExplorerIT <LogFile>
@For /f "delims=" %%a in ('Type "%~1"') do (
	Start "SelectFile" Explorer /select,"%%~a"
)
Exit /B
::-----------------------------------------------------------------------------------------------------------

Ah oui aussi ... A quoi sert ce code??

[hackoofr]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
ÿþ&cls
@echo off
Title Extract CommandLine Of Running Processes by Hackoo 2020
Mode 110,10 & color 0A
Set "TmpFile=%~n0_Abs_cmdline.txt"
Set "LogFile=%~n0_cmdline.txt
If Exist "%TmpFile%" Del "%TmpFile%"
If Exist "%LogFile%" Del "%LogFile%"
Set ProcessNames="cmd.exe" "mshta.exe" "powershell.exe" "cscript.exe" "wscript.exe" 
SetLocal EnableDelayedExpansion
for %%A in (%ProcessNames%) Do (
    Call :GetCommandLine %%A ProcessCmd
    If defined ProcessCmd ( 
        echo !ProcessCmd!>con
        echo !ProcessCmd!>>"%TmpFile%"
    )
)
Timeout /T 3 /NoBreak>nul
If Exist "%TmpFile%" Call :Extract "%TmpFile%" "%LogFile%"
If Exist "%LogFile%" Start "" "%LogFile%"
If Exist "%LogFile%" Call :ExplorerIT "%LogFile%"
Exit
::---------------------------------------------------------------------------------------------------------------
:GetCommandLine <ProcessName> <ProcessCmd>
Set "ProcessCmd="
for /f "tokens=2 delims==" %%P in (
'wmic process where caption^="%~1" get commandline /format:list ^| findstr /I "%~1" ^| find /I /V "%~nx0" 2^>nul'
) do (
    if not defined %2 Set "%2=%%P"
)
Exit /b
::---------------------------------------------------------------------------------------------------------------
:Extract <InputData> <OutPutData>
(
echo Data = WScript.StdIn.ReadAll
echo Data = Extract(Data,"(^?^!.*(\x22\w^)^)\b.*(\w^).*(\.ps1^|\.hta^|\.vbs^|\.vbe^|\.cmd^|\.bat^|\.lnk^)"^)
echo WScript.StdOut.WriteLine Data
echo Function Extract(Data,Pattern^)
echo    Dim oRE,oMatches,Match,Line
echo    set oRE = New RegExp
echo    oRE.IgnoreCase = True
echo    oRE.Global = True
echo    oRE.Pattern = Pattern
echo    set oMatches = oRE.Execute(Data^)
echo    If not isEmpty(oMatches^) then
echo        For Each Match in oMatches  
echo            Line = Line ^& chr(34^) ^& Trim(Match.Value^) ^& chr(34^) ^& vbcrlf
echo        Next
echo        Extract = Line 
echo    End if
echo End Function
)>"%tmp%\%~n0.vbs"
cscript /nologo "%tmp%\%~n0.vbs" < "%~1" > "%~2"
If Exist "%tmp%\%~n0.vbs" Del "%tmp%\%~n0.vbs"
exit /b
::-----------------------------------------------------------------------------------------------------------
:ExplorerIT <LogFile>
@For /f "delims=" %%a in ('Type "%~1"') do (
    Start "SelectFile" Explorer /select,"%%~a"
)
Exit /B
::-----------------------------------------------------------------------------------------------------------

Ah oui aussi ... A quoi sert ce code??

Avec quel éditeur avez-vous ouvert ce batch ? ou bien c'est quoi le moyen, la méthode etc... ?
Ce code batch sert extraire les lignes des commandes et trouver les chemins absolus correspondants aux processus !
Set ProcessNames="cmd.exe" "mshta.exe" "powershell.exe" "cscript.exe" "wscript.exe"