• XSS.stack #1 – первый литературный журнал от юзеров форума

С++ Нити(fibers) в разработке ПО и Малваря

Отслеживать

hahbah

Кодер C/C++
Пользователь
Регистрация
29.10.2021
Сообщения
148
Реакции
63
Гарант сделки
7
Я вот задумался, где может это пригодиться в реальных кейса, а так же в разработке малваря, когда нити будут лучше потоков.
Кейсов сам не придумал. Хотел спросить у людей, которые больше в этом разбираются, может кто-то использовал их на практике или знает кейсы?

Для тех, кто не понимает о чем речь, вот хорошая статья:
agraphicsguynotes.com

Fiber in C++: Understanding the Basics

Fiber, a less known concept compared with coroutine, is a pretty powerful addition to cooperative multitasking. As a graphics programmer in game industry, I totally appreciate the great flexibility that fiber brings on the table. As a matter of fact, I feel the tech is a little bit...
agraphicsguynotes.com
 
Greetings, a famous known case of using fibres is actually Cobalt Strike! The beacon uses fibres to mask its callstack while sleeping (if you are using the Artifact Kit). It does this by switching to a secondary (clean) fibre when asleep. That way, whenever a memory scanner looks at the current thread stack, it will see the clean stack of the sleeping fibre instead of a suspicious looking stack. (They do this partly because Beacon is a single-threaded application with a LOT of stack usage).

Here is an example of what I just explained, along others: github.com/JanielDary/ImmoralFiber
 
я тоже курил в эту сторону, но понял что это хрень, во первых фибры не могут работать в одном потоке паралельно, то есть тебе придется для каждой нити всеравно запускать отдельный поток, во вторых ты сам должен переключаться с фибры на фибру, если они работают в одном потоке, в принципе что-то в этом есть, там какой-то прикол с доступом из ядра, но я так глубоко не лез
 
Я полагаю, что в контексте малвари нас будет интересовать лишь реакция динамического анализа антивируса и его способность правильно работать с нитями внутри потоков, а не общая эффективность.
Выше уже привели в пример Cobalt Strike, но я думаю у нитей больше преимуществ в запутывании антивируса и это не лишено смысла, если с помощью них маскировать некоторые другие техники.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх