RAT под Windows

KernelMode · 16.01.2024

Продаю RAT под Windows. Функционал:
- Файл менеджер (загрузить \ скачать \ запустить).
- Скрытая работа в cmd\powershell.
- Выключение \ перезагрузка.
- Скриншот.
- Надежный закреп в системе.
- Шифрование канала связи с админкой.
- Поддержка Win7 - 11 + серверные ОС.
Билд на с++\админка на шарпе.
Стоимость 2000$\мес. Набираю не более 5 клиентов. Гарант приветствуется.

Ksandrwarf · 16.01.2024

О. Что-то новенькое.
Скан рантайма бы увидеть. Ну и фоточки красивенькой панельки.
Самопис или на базе белого софта ?

HikMbed · 16.01.2024

Хм.. https://github.com/CoderLadyTeam/Pe...-VNC-Hidden-Browser-Remote-Administration-Rat

KernelMode · 16.01.2024

Ksandrwarf сказал(а):

О. Что-то новенькое.
Скан рантайма бы увидеть. Ну и фоточки красивенькой панельки.
Самопис или на базе белого софта ?

агент самопис, панель с паблика + переделана под взаимодействие с нативным агентом. чуть позже выложу скрины и скан

HikMbed · 16.01.2024

KernelMode сказал(а):

Продаю RAT под Windows. Функционал:
- Файл менеджер (загрузить \ скачать \ запустить).
- Скрытая работа в cmd\powershell.
- Выключение \ перезагрузка.
- Скриншот.
- Надежный закреп в системе.
- Шифрование канала связи с админкой.
- Поддержка Win7 - 11 + серверные ОС.
Билд на с++\админка на шарпе.
Стоимость 2000$\мес. Набираю не более 5 клиентов. Гарант приветствуется.

Клиент на С++, сервер на С#, так будет корректнее.

KernelMode · 16.01.2024

агент и сервер на плюсах, клиент на шарпе чтобы совсем корректно

snoopy717 · 17.01.2024

I want to load quasar client.bin in csrss.exe with bypassing antivirus.

KernelMode · 17.01.2024

HikMbed сказал(а):

Хм.. https://github . com/CoderLadyTeam/Pegasus-Pantheon-HVNC-V2-VNC-Hidden-Browser-Remote-Administration-Rat

и да - к этому проекту отношения не имеет

KernelMode · 18.01.2024

небольшое добавление - в том репо которое ты скинул - троян... нехорошо так делать

HikMbed · 18.01.2024

KernelMode сказал(а):

небольшое добавление - в том репо которое ты скинул - троян... нехорошо так делать

Чего? Этот линк в паблике, нашёл на просторах интернета, и гуглются подобные вещи легко, тем более код открытый. Ты тут жути не нагоняй... Код открытый, и дураку понятно что это зловредное программное обеспечение. Но судя по твоей реплики / ты всё таки паблик продаёшь. Удачи.

KernelMode · 18.01.2024

файлы sln заменены на бинарники, соответственно НЕВНИМАТЕЛЬНЫЙ или НЕОПЫТНЫЙ кодер при открытии этой поделки заразит свою машину. И как моя реплика указывает что я паблик продаю?

HikMbed · 18.01.2024

KernelMode сказал(а):

файлы sln заменены на бинарники, соответственно НЕВНИМАТЕЛЬНЫЙ или НЕОПЫТНЫЙ кодер при открытии этой поделки заразит свою машину. И как моя реплика указывает что я паблик продаю?

Удачи в продажах.

HikMbed · 18.01.2024

Бинари можно удалить!создать новый проект, и будет новый файл sln/ скопировать нужные спп в проект/пересобрать /скомпилировать / чуть исправить ошибки / вот вам и готовый полноценный проект. Я вам не конкурент.

snoopy717 · 18.01.2024

I want to load quasar client.bin in csrss.exe with bypassing antivirus.
do you have any loader now?

SawGoD · 19.01.2024

HikMbed сказал(а):

Бинари можно удалить!создать новый проект, и будет новый файл sln/ скопировать нужные спп в проект/пересобрать /скомпилировать / чуть исправить ошибки / вот вам и готовый полноценный проект. Я вам не конкурент.

Отпиши мне в пм сконтактами? У меня есть исходный код похожего продукта

KernelMode · 23.01.2024

в ходе тестирования на живом трафике выявлен ряд недоработок, проект приостановлен на 10-14 дней

Bard · 23.01.2024

KernelMode сказал(а):

файлы sln заменены на бинарники, соответственно НЕВНИМАТЕЛЬНЫЙ или НЕОПЫТНЫЙ кодер при открытии этой поделки заразит свою машину.

nottse2 · 07.02.2024

fastening how???

rev5hel1 · 13.02.2024

Bard сказал(а):

Посмотреть вложение 74553

Это не заставка, это троян. Мне стало интересно и я это среверсил за 15 сек.

Код:

$ r2  Pantheon\ V2\ HVNC_nls..scr
-- Pass '-j' to rabin2 to get the information of the binary in JSON format.
[0x00403248]> aaaa
[x] Analyze all flags starting with sym. and entry0 (aa)
[x] Analyze all functions arguments/locals
[x] Analyze function calls (aac)
[x] Analyze len bytes of instructions for references (aar)
[x] Finding and parsing C++ vtables (avrr)
[x] Type matching analysis for all functions (aaft)
[x] Propagate noreturn information (aanr)
[x] Finding function preludes
[x] Enable constraint types analysis for variables
[0x00403248]> afl
[0x00403248]> s main
[0x00401320]> pdf
            ; CALL XREF from entry0 @ 0x4031f0(x)
┌ 99: int main (int argc, char **argv, char **envp);
│           0x00401320      6890b04000     push str.shell32.dll        ; 0x40b090 ; "shell32.dll" ; LPCSTR lpLibFileName
│           0x00401325      ff151c904000   call dword [sym.imp.KERNEL32.dll_LoadLibraryA] ; 0x40901c ; HMODULE LoadLibraryA(LPCSTR lpLibFileName)
│           0x0040132b      a340e94000     mov dword [0x40e940], eax   ; [0x40e940:4]=0
│           0x00401330      85c0           test eax, eax
│       ┌─< 0x00401332      7506           jne 0x40133a
│       │   0x00401334      50             push eax                    ; int32_t arg_8h
│       │   0x00401335      e8561b0000     call fcn.00402e90
│       │   ; CODE XREF from main @ 0x401332(x)
│       └─> 0x0040133a      689cb04000     push 0x40b09c               ; "ShellExecuteA" ; LPCSTR lpProcName
│           0x0040133f      50             push eax                    ; HWND hwnd
│           0x00401340      ff1518904000   call dword [sym.imp.KERNEL32.dll_GetProcAddress] ; 0x409018 ; FARPROC GetProcAddress(HMODULE hModule, LPCSTR lpProcName)
│           0x00401346      833d18914000.  cmp dword [sym.imp.SHELL32.dll_ShellExecuteA], 0 ; [0x409118:4]=0xbd70 reloc.SHELL32.dll_ShellExecuteA ; "p\xbd" ; HINSTANCE ShellExecuteA(HWND hwnd, LPCSTR lpOperation, LPCSTR lpFile, LPCSTR lpParameters, LPCSTR lpDirectory, INT nShowCmd)
│           0x0040134d      a344e94000     mov dword [0x40e944], eax   ; [0x40e944:4]=0
│       ┌─< 0x00401352      7507           jne 0x40135b
│       │   0x00401354      6a00           push 0                      ; int32_t arg_8h
│       │   0x00401356      e8351b0000     call fcn.00402e90
│       │   ; CODE XREF from main @ 0x401352(x)
│       └─> 0x0040135b      e8500b0000     call fcn.00401eb0
│           0x00401360      6a00           push 0                      ; int32_t arg_10h
│           0x00401362      68c0104000     push fcn.004010c0           ; 0x4010c0 ; "U\x8b\xecj\xffh\u02c5@" ; int32_t arg_ch
│           0x00401367      68b8b04000     push str.RBIND              ; 0x40b0b8 ; "RBIND"
│           0x0040136c      6a00           push 0                      ; HMODULE hModule
│           0x0040136e      ff1524904000   call dword [sym.imp.KERNEL32.dll_EnumResourceNamesA] ; 0x409024 ; BOOL EnumResourceNamesA(HMODULE hModule, LPCSTR lpType, ENUMRESNAMEPROCA lpEnumFunc, LONG_PTR lParam)
│           0x00401374      a140e94000     mov eax, dword [0x40e940]   ; [0x40e940:4]=0
│           0x00401379      50             push eax                    ; HMODULE hLibModule
│           0x0040137a      ff1508904000   call dword [sym.imp.KERNEL32.dll_FreeLibrary] ; 0x409008 ; BOOL FreeLibrary(HMODULE hLibModule)
└           0x00401380      c21000         ret 0x10

Странно для заставки GetProcAddress , а затем ShellExecute. Польностью реверсить желания нет.
Пардон, что забрёл в вашу тему...

Withmee001 · 13.02.2024

https://t.me/s01031988 отпиши

RAT под Windows

В этой теме можно использовать автоматический гарант!

ripper

(L2) cache

(L1) cache

ripper

(L1) cache

ripper

HDD-drive

ripper

ripper

(L1) cache

ripper

(L1) cache

(L1) cache

HDD-drive

RAM

ripper

(L1) cache

HDD-drive

HDD-drive

CD-диск