Привет.
Продам исходники универсального PE загрузчика, который способен обрабатывать большинство стандартных и нестандартных PE файлов.
Поддерживаются: SEH, TLS (не полностью, подробнее см. ниже), ресурсы, ActCtx и остальные механизмы, которые поддерживаются PE загрузчиком винды.
Если кратко, это самый полный PE загрузчик из всех доступных в паблике, который обходит по количеству поддерживаемых файлов PE лоадер от Octavian'a.
Алгоритм работы загрузчика основан на модификации потока управления стандартного загрузчика винды, иначе говоря поддерживаются почти все механизмы, поддерживаемые нативным загрузчиком ОС.
Простыми словами, загрузка EXE происходит через подмену полезной нагрузки в памяти при вызове обычной LoadLibrary и перенастройке загрузчика таким образом, чтобы он правильно загрузил EXE.
Процесс загрузки выглядит максимально легитимно для АВ, т.к не производятся левые вызовы VirtualAlloc/WriteProcessMemory и не выделяется RWX память.
Техническая часть:
- Код написан на C++, собирается в виде солюшна VS2022.
- Отсутствие зависимостей, загрузчик нативен и поддерживает все ОС, начиная от Windows 7, включая серверные x86/64.
- Перед началом загрузки производится отключение ETW на самом низком уровне.
- Загрузка производится безфайлово, на входе нужен только массив байт целевого файла.
- Поддерживаются только нативные файлы, при нужде могу доработать загрузчик для поддержки .NET.
- У целевого файла должны быть релоки, это обязательное условие для работы загрузчика.
- Предусмотрена загрузка только .EXE файлов, но несмотря на это загрузчик легко адаптируется под запуск DLL.
- Код легко читается, покрыт комментариями и поставляется вместе с документацией, описывающей алгоритмы работы загрузчика.
- Гарантируется поддержка не всех файлов, но большинства:
На тестах было замечено, что файлы из под компилятора Delphi7 отказываются работать с моим загрузчиком в связи с тем, что статические локальные переменные потока некорректно обрабатываются, я занимаюсь решением этой проблемы.
Тем не менее, большинство файлов спокойно загружается, помимо тестов на различной малвари, на видео в конце поста вы можете увидеть загрузку dbgview, ProcessHacker, 7zip, notepad++, CMD и калькулятора в память моим PE лоадером.
Условия сделки:
- Код продаётся в одни руки со всеми правами на его использование и интеграцию в свои продукты.
- Вы покупаете мой код для личного использования, перепродажа или слив исходного кода запрещены.
- Сделка создаётся с ограничением времени на тестирование продукта, подготовьте виртуальные машины и семплы для проверки перед открытием сделки.
- До внесения денег в гарант я не отвечаю на вопросы по части реализации, функционал полностью соответствует заявленному в теме.
- Возможна бесплатная проверка загрузчика на интересущих вас файлах до проведения сделки, можете кидать файлы в ПМ.
Цена исходников 1300$, сделка через автогарант. Получить контакт можно через ПМ, телеграмом не пользуюсь.
Продам исходники универсального PE загрузчика, который способен обрабатывать большинство стандартных и нестандартных PE файлов.
Поддерживаются: SEH, TLS (не полностью, подробнее см. ниже), ресурсы, ActCtx и остальные механизмы, которые поддерживаются PE загрузчиком винды.
Если кратко, это самый полный PE загрузчик из всех доступных в паблике, который обходит по количеству поддерживаемых файлов PE лоадер от Octavian'a.
Алгоритм работы загрузчика основан на модификации потока управления стандартного загрузчика винды, иначе говоря поддерживаются почти все механизмы, поддерживаемые нативным загрузчиком ОС.
Простыми словами, загрузка EXE происходит через подмену полезной нагрузки в памяти при вызове обычной LoadLibrary и перенастройке загрузчика таким образом, чтобы он правильно загрузил EXE.
Процесс загрузки выглядит максимально легитимно для АВ, т.к не производятся левые вызовы VirtualAlloc/WriteProcessMemory и не выделяется RWX память.
Техническая часть:
- Код написан на C++, собирается в виде солюшна VS2022.
- Отсутствие зависимостей, загрузчик нативен и поддерживает все ОС, начиная от Windows 7, включая серверные x86/64.
- Перед началом загрузки производится отключение ETW на самом низком уровне.
- Загрузка производится безфайлово, на входе нужен только массив байт целевого файла.
- Поддерживаются только нативные файлы, при нужде могу доработать загрузчик для поддержки .NET.
- У целевого файла должны быть релоки, это обязательное условие для работы загрузчика.
- Предусмотрена загрузка только .EXE файлов, но несмотря на это загрузчик легко адаптируется под запуск DLL.
- Код легко читается, покрыт комментариями и поставляется вместе с документацией, описывающей алгоритмы работы загрузчика.
- Гарантируется поддержка не всех файлов, но большинства:
На тестах было замечено, что файлы из под компилятора Delphi7 отказываются работать с моим загрузчиком в связи с тем, что статические локальные переменные потока некорректно обрабатываются, я занимаюсь решением этой проблемы.
Тем не менее, большинство файлов спокойно загружается, помимо тестов на различной малвари, на видео в конце поста вы можете увидеть загрузку dbgview, ProcessHacker, 7zip, notepad++, CMD и калькулятора в память моим PE лоадером.
Условия сделки:
- Код продаётся в одни руки со всеми правами на его использование и интеграцию в свои продукты.
- Вы покупаете мой код для личного использования, перепродажа или слив исходного кода запрещены.
- Сделка создаётся с ограничением времени на тестирование продукта, подготовьте виртуальные машины и семплы для проверки перед открытием сделки.
- До внесения денег в гарант я не отвечаю на вопросы по части реализации, функционал полностью соответствует заявленному в теме.
- Возможна бесплатная проверка загрузчика на интересущих вас файлах до проведения сделки, можете кидать файлы в ПМ.
Цена исходников 1300$, сделка через автогарант. Получить контакт можно через ПМ, телеграмом не пользуюсь.
