Nullsoft что это за программа

Nullsoft что это за программа

NSIS (Nullsoft Scriptable Install System)
Скриптовая система создания инсталляционных пакетов от авторов Winamp

Основные характеристики:

Последняя версия ветки 2.х: NSIS 2. 51 (от 1 апреля 2016 г., статус ветки — Old Releases)
Последняя версия ветки 3.х: NSIS 3. 08 (от 25 сентября 2021 г.)

Редактор для скриптового языка NSIS: [ скачать ] • [ домашняя страница ]

NSIS Unpacker
7-zip начиная с версии 4.40 beta поддерживает распаковку из некоторых типов инсталляций.
Обратите внимание, что 7za не поддерживает распаковку.

Полноценного русификатора пока нет, но кто хочет, может перевести сообщения в исходных текстах NSIS и скомпилировать всё заново – это единственный корректный вариант. Из файлов поддаётся корректному переводу только меню интегратора NSIS, поскольку там HTML, а остальные переводы – это в основном «русификаторы» с непредсказуемыми последствиями применения.

64-х битное развитие идей NSIS. В разработке, аннотация разработчика nsisbi .

hibro nsis

Источник: forum.ru-board.com

Изучаем зловреда NSIS.BitMin.d или Trojan.CoinMine и т.д.

На самом деле эта история началась спонтанно. Достаточно в большую сеть попал зловред который начал везде распихивать файл DOC001.exe , на который начал ругаться антивирь. Но как всегда бывает, антивирь был не везде, пользователи тыкают на все подряд и лечить в ручную стало проблематично.Собственно я решил исследовать что же делает этот паразит )))

Для начало нам нужен тестовый стенд, думаю вы не захотите запускать любую опасную программу на своем компе. Я просто сделал виртуальную машину (песочницу) на VirtualBox . Вы можете использовать любую виртуализацию или просто чистый компьютер. Еще удобно использовать контрольные точки виртуальной машины что бы откатить на чистую систему после экспериментов.

Идея моя простая. Я просто создал виртуальную машину на винде, отключил ей сеть и т.д. Что бы отслеживать что делает вирус я установил программу Process Monitor . Это конечно не reverse engineering но до этого мы тоже дорастем )))

Process Monitor — бесплатная утилита для 32-битных и 64-разрядных операционных систем Microsoft Windows, разработанная Sysinternals, и затем приобретённая Microsoft Corporation.

Отличная программа для мониторинга операционной системы, отслеживает изменения реестра, файловой системы, сетевую активность , процессы. Пишет логи, показывает дерево процессов , есть фильтры и поиск. Вообщем огонь ))))

Поееехалиии….

Запускаем и исследуем. Если вам хочется тоже покопаться — вы можете скачать данного индивида с нашего сайта, пароль от архива «1234» . Вся ответственность на вас, сайт не несет ответственности за порчу данных на ПК, утечку персональных данных и любой другой возможный ущерб )))

Операция не завершена так как файл содержит вирус

Открываем диспетчер задач, видим что клиент запустился и работает :

Дальше будет много фоток и всякой ерунды. Теперь переходим к Process Monitor и ищем начало запуска программы :

По началу вам наверное будет тяжело с этим разобраться , но освоившись с интерфейсом программы и полазив пару часов в логах все будет Ок )))

Дальше он там что то делает , туда сюда , реестр и танцы с бубном. Следующий интересный момент : он копирует себя в c:UserstestAppDataRoamingTempsDOC001.exe и запускает. На этом история запущенного файла заканчиваться и работает уже скопированный экземпляр. Собственно по дереву процессов видно что PID разный и хронологию событий.

Дальше он распаковывает c:UserstestAppDataRoamingTemps сам майнер , а в Local/Temp — inetc.dll . Дальше он создает ярлык в автозагрузке пользователя explorer.lnk

Теперь пришла стадия , е***сь и плодись ))) Троян запускает cmd.exe с чертовски длинной командной строкой, там и циклы и условия. Я вообще не знал что так можно в терминале Винды. Краткий смысл : скопировать себя во все доступные сетевые шары, диски и т.д.

Вообщем без Инета живется зловреду очень скучно. Он так по кругу и сканирует сеть, пытается размножаться и даже не может запустить майнер.

Покопаемся немного еще . Если он достает майнер , библиотеке, значит он запакован или типа того. Берем хорошую программку CFF Explorer и смотрим что это вообще за исполняемый файл .

Тут мы видим какие dll использует файл , манифест , всякая служебная информация. Но самое главное понятно что это Nullsoft Scriptable Install System . По сути установочник под Винду с использование скриптов и т.д.

Nullsoft Scriptable Install System (NSIS) — система создания установочных программ для Microsoft Windows с открытым исходным кодом, разработанная компанией Nullsoft — автором плеера Winamp. NSIS и был задуман как альтернатива InstallShield .

С пакетом NSIS поставляются несколько плагинов, позволяющих добавлять новые страницы, заменять фоновые изображения, скачивать файлы из Интернета, выполнять математические вычисления, обновлять файлы и др.

Еще отлична программка Detect It Easy, юзаем ее тоже.

Можно его распаковать Universal Extractor , если вам хочется. На этом первая часть исследования закончена, во второй (которой еще нету) подкинем бедняге инет, БУДЕТ ВЕСЕЛО )))

P.S. К стати с сетью все хорошо ) Написали скриптик убивающий процесс, подчищает файлы и запустили его доменной политикой на компьютерах. Благо в этой сети инета нету )))

Ошибка в тексте? Выделите её и нажмите «Ctrl + Enter»

Источник: xn--90aeniddllys.xn--p1ai

Nullsoft Scriptable Install System (NSIS) 3.6.7162.2

Nullsoft Scriptable Install System (NSIS) — комплекс инструментов для создания пакетов установки и деинсталляции. Позволяет в простом и доступном интерфейсе создать собственный установочный пакет с функциями записи в реестр, распаковки файлов и не только.

Данная программа предназначена для профессиональной аудитории пользователей и разработчиков. Если разбираться в особенностях и плагинах пакета NSIS времени нет — проще использовать InstallMate и прочее программное обеспечение с интуитивно понятным функционалом для создания собственных установочных пакетов.

• Взаимодействие с системным реестром;
• Распаковка файлов и архивов;
• Создание ярлыков и установка ассоциаций файлов;
• Поддержка использования математических операций;
• Создание папки в стартовом меню Windows;
• Создание EXE для деинсталляции программы;
• Взаимодействие с функциями Windows;
• Настройка оформления установочного пакета;
• И многое другое!

Источник: pcprogs.net

Nullsoft Scriptable Install System — скриптовый установщик

Для предоставления программному продукту товарного вида мало иметь грамотно написанную работающую программу. Еще нужно собрать в кучу все необходимые модули, дополнительные файлы и библиотеки в один пакет, который будет правильным образом устанавливать программу на компьютер пользователя. Одним из вариантов создания готовых инсталляторов будет использование NSIS.

NSIS (Nullsoft Scriptable Install System) – это бесплатная система для создания инсталляционных пакетов в ОС Windows. Основные его преимущества перед другими подобными программами является простота использования, широкая функциональность и возможность ее расширения за счет плагинов. Для обучения работы с NSIS, на сайте производителя можно найти подробные руководства и примеры написания скриптов.

Если после начала работы с NSIS вы начнете испытывать сомнения на счет возможностей, просто наберитесь терпения и потратьте еще немного времени на обучение, ведь его используют достаточно много производителей ПО.

Источник: lifehacker.ru