резидентный лоадер

[kto]

всем привет, поставил себе цель изучать следущие технологии для создания собственного проекта.
Бинарь:
• C++20
• Boost.Asio + OpenSSL/libsodium
• Reflective DLL Injection (Windows) / ELF Injection (Linux)
• LLVM Custom Passes (обфускация и виртуализация)
- структура PE файла
- winapi
- shellcode injection
- RunPE
- LoadPE
- direct and indirect syscall
- edr av bypass
- VEH SEH


Клиент:
• Qt (C++/QML)

Сервер (веб-панель):
• Go + Gin (backend)
• PostgreSQL (база данных)
• Redis (кэширование)
• TLS + AES-256/RSA (безопасность соединений)

Инфраструктура:
• Docker (контейнеризация)

очень хотелось бы услышать уместную критику и советы по технологиями ( что добавить/изменить/убрать)

 

[вавилонец]

круто! разбей на подпункты и выставь средний срок освоения, и доведения до результата. пока это спросто список, цель подразумевает понимание сроков ее выполнения. А то можно и бесконечно ее достигать.

 

[bigheadguy]

исходя из сабжа придумался вариант.
сделай свой тред "как я пилил лоадер".
сделай это в виде списка статей(небольших) в одной ветке
возможно и монетку подзаработаешь

 

[kto]

исходя из сабжа придумался вариант.
сделай свой тред "как я пилил лоадер".
сделай это в виде списка статей(небольших) в одной ветке
возможно и монетку подзаработаешь

идея хорошая, помогу таким же людям как я и мне будут помогать знающие люди советами. спасибо

 

[m00r]

исходя из сабжа придумался вариант.
сделай свой тред "как я пилил лоадер".
сделай это в виде списка статей(небольших) в одной ветке
возможно только ав подзаработает

 

[Kodex]

Если с нуля, то к старости может закончишь мастерить, только не забывай про апдейты системы и ав

 

[tenac1ous]

всем привет, поставил себе цель изучать следущие технологии для создания собственного проекта.
Бинарь:
• C++20
• Boost.Asio + OpenSSL/libsodium
• Reflective DLL Injection (Windows) / ELF Injection (Linux)
• LLVM Custom Passes (обфускация и виртуализация)
- структура PE файла
- winapi
- shellcode injection
- RunPE
- LoadPE
- direct and indirect syscall
- edr av bypass
- VEH SEH


Клиент:
• Qt (C++/QML)

Сервер (веб-панель):
• Go + Gin (backend)
• PostgreSQL (база данных)
• Redis (кэширование)
• TLS + AES-256/RSA (безопасность соединений)

Инфраструктура:
• Docker (контейнеризация)

очень хотелось бы услышать уместную критику и советы по технологиями ( что добавить/изменить/убрать)

Учи не с++ а си, ООП учить з нуля смысла нет, особенно когда работаешь на низком уровне. Освой си, потом если понадобится будет очень просто доучить к нему плюсы.
Малвдев не любит абстракции и ненужные усложнения которые грузят код.

 

[kto]

спасибо всем кто помогает с советами. отдельное спасибо хочу выразить Matanbuchus
. так же я нашел себе человека у которого схожие интересы и теперь буду двигаться в сторонну следущих технологи:
Бинарь:
• C17
• ASM (x86/x64)
• Berkeley Sockets + libsodium
• Reflective DLL Injection (Windows) / ELF Injection (Linux)
• Собственная морфологическая обфускация (замена LLVM Custom Passes)
• Структура PE/ELF файлов
• WinAPI
• Shellcode Injection
• RunPE
• LoadPE
• Direct and Indirect Syscall
• EDR/AV Bypass
• VEH/SEH
• Base64 + RC4

Админка:
• PHP(laravel)+ MySQL


Хронология изучения:
1. C17 + ASM (x86/x64)
2. Структура PE/ELF файлов
3. WinAPI
4. Berkeley Sockets + libsodium
5. Reflective DLL Injection / ELF Injection
6. Shellcode Injection
7. RunPE / LoadPE
8. Direct и Indirect Syscall
9. Base64 + RC4
10. VEH/SEH
11. Собственная морфологическая обфускация (LLVM Custom Passes)
12. EDR/AV Bypass
13. PHP(laravel) + MySQL (Админка для управления ботами)
пока что решил вернуться к курсам тимофея хирьянова по C, дальше буду читать книгу от дениса ритчи и ассемблер, ассемблер я выбрал к C по ряду причин -
1. Максимального контроля над процессором и памятью.
2. Оптимизации кода: минимальный размер и высокая скорость выполнения.
3. Реализации низкоуровневых операций: работа с регистрами, прерываниями, системными вызовами.
4. Обхода защиты (AV/EDR): скрытые техники внедрения и исполнения кода.
5. Создания шеллкодов для инъекций и эксплуатации уязвимостей.
6. Изучения архитектуры CPU: понимание, как работают инструкции на машинном уровне.

 

[google_]

удачи бро
тема интересная
с удовольствием буду наблюдать

 

[Unseen]

спасибо всем кто помогает с советами. отдельное спасибо хочу выразить Matanbuchus
. так же я нашел себе человека у которого схожие интересы и теперь буду двигаться в сторонну следущих технологи:
Бинарь:
• C17
• ASM (x86/x64)
• Berkeley Sockets + libsodium
• Reflective DLL Injection (Windows) / ELF Injection (Linux)
• Собственная морфологическая обфускация (замена LLVM Custom Passes)
• Структура PE/ELF файлов
• WinAPI
• Shellcode Injection
• RunPE
• LoadPE
• Direct and Indirect Syscall
• EDR/AV Bypass
• VEH/SEH
• Base64 + RC4

Админка:
• PHP(laravel)+ MySQL


Хронология изучения:
1. C17 + ASM (x86/x64)
2. Структура PE/ELF файлов
3. WinAPI
4. Berkeley Sockets + libsodium
5. Reflective DLL Injection / ELF Injection
6. Shellcode Injection
7. RunPE / LoadPE
8. Direct и Indirect Syscall
9. Base64 + RC4
10. VEH/SEH
11. Собственная морфологическая обфускация (LLVM Custom Passes)
12. EDR/AV Bypass
13. PHP(laravel) + MySQL (Админка для управления ботами)
пока что решил вернуться к курсам тимофея хирьянова по C, дальше буду читать книгу от дениса ритчи и ассемблер, ассемблер я выбрал к C по ряду причин -
1. Максимального контроля над процессором и памятью.
2. Оптимизации кода: минимальный размер и высокая скорость выполнения.
3. Реализации низкоуровневых операций: работа с регистрами, прерываниями, системными вызовами.
4. Обхода защиты (AV/EDR): скрытые техники внедрения и исполнения кода.
5. Создания шеллкодов для инъекций и эксплуатации уязвимостей.
6. Изучения архитектуры CPU: понимание, как работают инструкции на машинном уровне.

Как тебе отвечал ранее, еще раз напишу - начни с книги Столярова)) Там все это есть для правильного программированиия на Си, и ассемблера, а все начинается с устройства ПК. Причем все идет по этапно. В видео многие моменты не рассматриваются и у тебя скорее будут пробелы.

Удачи.

 

[secidiot]

• Собственная морфологическая обфускация (замена LLVM Custom Passes)

Убери вот это, а то реально до старости будешь делать, это не для новичков как ты.

ELF Injection (Linux)

Это можно убрать.

Объедени это все в одно: Shellcode Injection / RunPE / LoadPE / Reflective DLL Injection

8. Direct и Indirect Syscall

После этого пункта начни с изучения Спуфа стека вызовов (пример) и загрузка длл через "прокси", для более продвинутого обхода ав едр

 

[BigBug]

После этого пункта начни с изучения Спуфа стека вызовов (пример) и загрузка длл через "прокси", для более продвинутого обхода ав едр

Больше всего актуальных техник по обходу av/edr узнаю из твоих сообщений) Надеюсь однажды увидеть статью в которой твои знания будут изложены более комплексно и структурировано

 

[kto]

Как тебе отвечал ранее, еще раз напишу - начни с книги Столярова)) Там все это есть для правильного программированиия на Си, и ассемблера, а все начинается с устройства ПК. Причем все идет по этапно. В видео многие моменты не рассматриваются и у тебя скорее будут пробелы.

Удачи.

лайки на сегодня закончились но вообщем что я хочу сказать насчет этого - возьмусь учиться по книгам столярова и позже отпишу как продвигается и не пожалел ли я

 

[kto]

Убери вот это, а то реально до старости будешь делать, это не для новичков как ты.

Это можно убрать.

Объедени это все в одно: Shellcode Injection / RunPE / LoadPE / Reflective DLL Injection

После этого пункта начни с изучения Спуфа стека вызовов (пример) и загрузка длл через "прокси", для более продвинутого обхода ав едр

спасибо, к советам прислушаюсь.

 

[Unseen]

лайки на сегодня закончились но вообщем что я хочу сказать насчет этого - возьмусь учиться по книгам столярова и позже отпишу как продвигается и не пожалел ли я

Минимальный набор, который тебе нужен =)

 

[kto]

сделал структуру проекта
# 1. Архитектура проекта

## 1.1 Основные компоненты

### Payload (исполняемый файл)
- Генерируется **билдером**.
- Основные характеристики:
- **Минимальный размер**.
- **Зашифрованные строки**.
- **Стелс-механизмы** для обхода AV/EDR.
- Логика **заморозки** на 7 дней при истечении подписки.

### Админ-панель
- **Фреймворк**: Laravel + MySQL.
- **API**:
- REST для взаимодействия с payload'ами.
- WebSockets для real-time связи и обновлений.
- Управление подписками:
- Заморозка ботов на **7 дней** при истечении подписки.
- Полное удаление ботов после 7 дней, если подписка не продлена.

### Билдер
- Генератор payload'ов, привязанных к пользователям через уникальные **RSA ключи**.
- Шифрует конфигурацию (IP, порты, ключи шифрования).

### Контроль подписок
- Привязка пользователей к их **билдерам** через **RSA ключи**.
- Логика заморозки:
- Боты переходят в состояние **frozen** при истечении подписки.
- Через 7 дней боты **самоудаляются**, если подписка не продлена.

### Трафик
- Защищенный обмен данными:
- **RC4** для основного трафика.
- **XOR** для чувствительных параметров.

---

# 2. Разработка payload

## 2.1 Цели и особенности

### Маскировка от AV/EDR
- **Минимизация сигнатур**:
- Динамически зашифрованные строки (**XOR + RC4**).
- Избегание **стандартных WinAPI вызовов** через **Indirect Syscall**.
- **Обфускация кода**:
- **Control Flow Flattening**: перемешивание логики исполнения.
- **NOP инструкции** и **ложные ветвления** для анализа.

### Структура payload
- **.exe** — основной файл для запуска.
- **.dll** — для инъекций и stealth-запусков.

---

## 2.2 Функционал payload

### Запуск процессов
- **RunAs**: запуск с правами администратора через `cmd`.
- **LoadPE**: инъекция PE-файла в память, **минует диск**.
- **RunPE**: внедрение исполняемого файла в чужой процесс.

### DLL Injection
- Методы:
- **LoadLibrary**: безопасная загрузка через API.
- **rundll32**: запуск DLL стандартным механизмом Windows.
- **regsrv32**: регистрация и выполнение DLL.

### Командное выполнение
- **Скрытый режим** выполнения `cmd` команд.
- Поддержка **аргументов командной строки**.

### Удаление и обновление
- **Самоудаление**: удаление оригинального payload после выполнения задач.
- **Обновление**: загрузка и замена текущего payload с сервера.

### Логика заморозки подписки
- При истечении подписки сервер отправляет статус `frozen`.
- Бот переходит в "режим ожидания":
- Выполняет **heartbeat** раз в 24 часа.
- При продлении подписки статус меняется на `active`.
- По истечении **7 дней**, если подписка не продлена, бот **самоудаляется**.

---

## 2.3 Способы закрепления (стелс-механизмы)

### Регистрация в автозагрузке
- Использование **HKCU** (Current User) вместо HKLM для **минимизации подозрений**.
- Скрытие записи с использованием **Unicode символов** или **CLSID**.

### Task Scheduler
- Создание **скрытых заданий** с `schtasks.exe`.
- Запуск через **cmd.exe** с параметром `/TN`.

### Image File Execution Options (IFEO)
- Подмена ключей запуска **безопасных приложений** на payload.

### Process Hollowing
- Внедрение payload в **доверенные процессы** (например, `explorer.exe` или `svchost.exe`).

---

# 3. Разработка админ-панели (Laravel)

## 3.1 Технологии и структура

### Фреймворк
- **Laravel 10.x** для backend.
- **MySQL** для хранения данных.
- **WebSockets**: реализация через **Pusher** или **Laravel Echo**.

### Основные модули
1. **Статистика**:
- Количество **активных payload'ов**.
- Статистика по **ОС, странам, версиям**.

2. **Список payload'ов**:
- Фильтры: **UID, тег, страна**.
- Действия: **обновление, удаление, выполнение задач**.

3. **Управление задачами**:
- Создание задач с параметрами:
- **URL**, метод выполнения.
- Мониторинг статуса выполнения.

4. **Билдер**:
- Генерация payload'ов **.exe и .dll**.
- Шифрование конфигурации и трафика.

5. **Управление пользователями**:
- Разграничение доступа.
- Привязка билдера к конкретному пользователю.

6. **Контроль подписок**:
- Заморозка ботов при истечении подписки.
- Полное удаление через 7 дней.

---

# 4. Разработка билдера

## 4.1 Функционал билдера
- **Привязка к пользователю**:
- Генерация payload'а с **уникальным ключом** пользователя.
- Валидация ключа при первом запуске.

- **Конфигурация**:
- Ввод параметров:
- **IP сервера** и порт.
- Способ выполнения: **.exe, .dll**.
- Настройка **RC4 ключа** шифрования.

- **Генерация**:
- Создание минимального **.exe** или **.dll**.
- Встраивание зашифрованных строк и конфигурации.

---

# 5. Незаметность перед AV/EDR
- **Шифрование строк**: динамический **XOR + RC4**.
- **Indirect Syscalls**: косвенные вызовы WinAPI.
- **Обфускация кода**: **Control Flow Flattening**, NOP-инструкции.
- **Минимальный размер** payload (~20 КБ).
- Закрепление через **Task Scheduler** и **Process Hollowing**.

---

# 6. Тестирование

## 6.1 Payload
- Тестирование на Windows **7/8/10/11**.
- Проверка на AV/EDR через **VirusTotal** и **Any.Run**.
- Тестирование методов инъекции.

## 6.2 Админ-панель
- Тестирование **API/WebSockets**.
- Производительность MySQL при **большом количестве ботов**.

---

# 7. Связи между модулями

```plaintext
Админ-панель ↔ Payload:
- Передача задач (REST API/WebSockets).
- Получение heartbeat и отчетов.

Админ-панель ↔ Билдер:
- Генерация payload на основе параметров.

Payload ↔ Контроль подписок:
- Проверка RSA-ключа и статуса подписки.
- Заморозка на 7 дней → Самоудаление.

жду уместную критику, был бы очень рад если бы старожилы форума и просто опытные кодеры оценили и высказали бы свое мнения
Quake3 Matanbuchus DildoFagins waahoo
так же расматриваю nim как замену c/asm в силу его меньшей популярности и меньшим детектом сигнатур опять же в силу его не популярности среди малваре кодеров.

​

 

[kto]

формат чет не очень читабельный, а жаль... в obsidian лучше смотрелось....