Как склеить легитную аппку и малварь?

[bloodcatz]

Задача склеить установщик легитной программы и малварь, чтобы он подгружался до или после установки.
Как это делают и какой % отстука теряют? Есть ли условно бесплатный способ создать такой установщик без детектов?
(при условии, что у малвари детектов не будет). Буду рад услышать ваши мысли по этому поводу!

 

[The_Jeday]

Способ создать такую "склейку" условно бесплатно есть, называется dll sideloading, сейчас наверное как таковой склейки не делают (могу быть не прав), используют лоадеры

 

[Fooll Zero]

Способ создать такую "склейку" условно бесплатно есть, называется dll sideloading, сейчас наверное как таковой склейки не делают (могу быть не прав), используют лоадеры

Условно бесплатным dll sideloading вряд ли назовешь, АВ не плохо детектит dll sideloading, а то что не детектится явно не бесплатное. Ну, а если в целом, то старую-добрую склейку заменил dll sideloading или он же sideloading - это факт.

Н форуме есть достаточно инфы по sideloading

 

[bloodcatz]

буду пробовать sideloading, спасибо!

 

[kamzzzzz]

Склейка лишает любую легитную аппку, ее легитности с точки зрения подписи, имей это ввиду

 

[bloodcatz]

Склейка лишает любую легитную аппку, ее легитности с точки зрения подписи, имей это ввиду

Понимаю, от танцев с сертификатами видимо не сбежать

 

[qvp]

А зачем склейка, если малварь без детектов? Просто если склеить,то проблема будет та же при установке, запрос проверки ГП

 

[MetadorAPT]

Условно бесплатным dll sideloading вряд ли назовешь, АВ не плохо детектит dll sideloading, а то что не детектится явно не бесплатное. Ну, а если в целом, то старую-добрую склейку заменил dll sideloading или он же sideloading - это факт.

Н форуме есть достаточно инфы по sideloading

вы что с публичных бинарников берете dll sideloading? (из базы) совершенно ничего не детектится, если бинарник не использовался ранее, и загружает сразу в несколько потоков, вообще сейчас настолько абсурдно стало использовать rundll32, regsvr32 с текущими правилами sigma которые включены в любой EDR, что даже любой dll sideloading приносит больше пользы, от сертов вы сейчас не убежите никуда совершенно, так как любая длл которая загружается куда либо, которая не подписана, это автоматом агрессивное действие, если кому нужен нормальный sideloading в лс, найдем, подберем

 

[Fooll Zero]

А зачем склейка, если малварь без детектов?

А он верит в крипт с задержкой (30+++сек) и СуперНахуйСканеры, дальше можно и не говорить - баламут!

 

[Fooll Zero]

вы что с публичных бинарников берете dll sideloading? (из базы) совершенно ничего не детектится, если бинарник не использовался ранее, и загружает сразу в несколько потоков, вообще сейчас настолько абсурдно стало использовать rundll32, regsvr32 с текущими правилами sigma которые включены в любой EDR, что даже любой dll sideloading приносит больше пользы, от сертов вы сейчас не убежите никуда совершенно, так как любая длл которая загружается куда либо, которая не подписана, это автоматом агрессивное действие, если кому нужен нормальный sideloading в лс, найдем, подберем

Ты хочешь его наебать? Удачи, но не втирай пожалуйста)))))

 

[bloodcatz]

А он верит в крипт с задержкой (30+++сек) и СуперНахуйСканеры, дальше можно и не говорить - баламут!

без негатива, хотел разобраться в вопросе склейки

в итоге пришел к тому, что склеивать напрямую это геморно.

под мои цели подошел такой подход: сделал себе белый лаунчер, который подгружает установщик и билд, и запускает их по отдельности. АВ не агрятся, посмотрим как будет на практике. всем добра

 

[david9999]

dll hijacking vulnerability but you are unlikely to encounter

 

[david9999]

без негатива, хотел разобраться в вопросе склейки

в итоге пришел к тому, что склеивать напрямую это геморно.

под мои цели подошел такой подход: сделал себе белый лаунчер, который подгружает установщик и билд, и запускает их по отдельности. АВ не агрятся, посмотрим как будет на практике. всем добра

Good luck

 

[HikMbed]

Покурите ребят. strandhogg.

 

[The_Jeday]

без негатива, хотел разобраться в вопросе склейки

в итоге пришел к тому, что склеивать напрямую это геморно.

под мои цели подошел такой подход: сделал себе белый лаунчер, который подгружает установщик и билд, и запускает их по отдельности. АВ не агрятся, посмотрим как будет на практике. всем добра

Прошу прощения за вопрос. Как вы с smartscreen'ом разобрались? EV сертификат?

 

[bloodcatz]

Прошу прощения за вопрос. Как вы с smartscreen'ом разобрались? EV сертификат?

да, другого способа как я знаю нет

 

[qvp]

Можно ли как то это обойти?

 

[HikMbed]

Можно ли как то это обойти?

Да, криптом.

 

[qvp]

Да, криптом.

После крипта, это не меняет ситуацию)

 

[HikMbed]

После крипта, это не меняет ситуацию)

Чего?) меняет ещё как.