Всем привет,
У меня вопрос из двух частей.
Я пытаюсь сделать инжект шэллкода в чужой процесс. Шэлкод чистый output от Donut-а. В статике не проблема - всё чисто на ВТ, и крипт статистический нормальный сделал. Проблема в рантайме. Когда запускаю малварь, инжект проходит но через примерно 10 секунд, Дефендер ругается на Behavior:Win32/Wovdnut.C!sms. Это явно связанно с Donut-a. Интересно что не всегда выскакивает. Иногда тупо все загружается и работает нормально.
Вопросы:
1) Я инжектирую в svchost.exe. Я знаю что это может быть глупо, и может Дефендер сразу и сканит эти процессы и по этом и палит? Какие другие процессы вы бы порекомендовали для инжекта?
2) Если взять другой процесс, всё равно по логике детект был на Behavior/Поведение. А это значит что все шелкоды сгенерированными Donut-a будут палится. Как-то думаю что отпечатка в память. Что можно делать чтобы обходить это?
Еще одна заметка: шелкод для ратника на .NET. Может быть Дефендер видит лодер Donut-a и бьет тревога потому что он пытается там CLR загружать в посторонний процесс? Но пайлод не могу сменять, мне нужна загрузка .NET.
Что бы вы посоветовали?
У меня вопрос из двух частей.
Я пытаюсь сделать инжект шэллкода в чужой процесс. Шэлкод чистый output от Donut-а. В статике не проблема - всё чисто на ВТ, и крипт статистический нормальный сделал. Проблема в рантайме. Когда запускаю малварь, инжект проходит но через примерно 10 секунд, Дефендер ругается на Behavior:Win32/Wovdnut.C!sms. Это явно связанно с Donut-a. Интересно что не всегда выскакивает. Иногда тупо все загружается и работает нормально.
Вопросы:
1) Я инжектирую в svchost.exe. Я знаю что это может быть глупо, и может Дефендер сразу и сканит эти процессы и по этом и палит? Какие другие процессы вы бы порекомендовали для инжекта?
2) Если взять другой процесс, всё равно по логике детект был на Behavior/Поведение. А это значит что все шелкоды сгенерированными Donut-a будут палится. Как-то думаю что отпечатка в память. Что можно делать чтобы обходить это?
Еще одна заметка: шелкод для ратника на .NET. Может быть Дефендер видит лодер Donut-a и бьет тревога потому что он пытается там CLR загружать в посторонний процесс? Но пайлод не могу сменять, мне нужна загрузка .NET.
Что бы вы посоветовали?
