• XSS.stack #1 – первый литературный журнал от юзеров форума

Loader (DLL sideloading) - AV/EDR/SmartScreen bypass | Интересует сотрудничество

В этой теме можно использовать автоматический гарант!

Новая сделка
Статус
Закрыто для дальнейших ответов.
Отслеживать
xxXOXxx сказал(а):
об чем речь? хоть прояснили бы ситуацию
вот при всём желании уже не найду пост.
но суть была следующая, выкатили пост запуска файлов в памяти.
И через N время, чел другой создаёт пост с услугами по запуску файлов из памяти :D крипт бл#ть, ну там собственно все и накинулись на него.
Так что ТС если это твоя разработка, молодчик! если нет, тогда готовь вазелин :D
 
MrBang сказал(а):
я так понимаю это тот самый дроппер из недавней статьи с форума? :D
что бы понять, нужно опробовать его метод, а он хочет процент, какой процент и чего процент, история молчит
 
xxXOXxx сказал(а):
с чего ты взял что это паблик?
% это обстрактная величина, которая не к чему не привязана. ты можешь предложить любую цифру - я её все равно не смогу проверить :) ты наверное не в силах это понять.
загрузка в архиве т.к. сам метод таков. подписаный легитимный .exe + .dll лоадер. тебе не надо покупать дорогой сертификат.
может ты предложить 250$ и я соглашусь. ты почему то думаешь про какие то трилиарды
беремся мы все из одного и того же места - из женщин.

чего такой желчный ? добрее надо быть.
так я пользовался подобной сборкой по этому знаю о чем речь- это все лежит в публичном доступе, но и у тебя нету четкой цены.
Автор ты хитрец, мы тебя раскусили.

В архиве потому что когда пакуешь 2 раза в рар то смарт пропадает, что ты скажешь на это?)
 
MrBang сказал(а):
вот при всём желании уже не найду пост.
но суть была следующая, выкатили пост запуска файлов в памяти.
И через N время, чел другой создаёт пост с услугами по запуску файлов из памяти :D крипт бл#ть, ну там собственно все и накинулись на него.
Так что ТС если это твоя разработка, молодчик! если нет, тогда готовь вазелин :D
код на с++
шифруются строки вызова либ и функций
шифруется шеллкод
для каждой сборки используются свои ключи
все расшифровывается во время выполнения
используется LLVM

каждая сборка получается уникальной.

не я придумал инжектить шеллкод в память. не я придумал сам метод dll sideloading. не совсем понятно, что ты имеешь ввиду под своей разработкой. в наше время, когда все изобретено по 100 раз, ничего не может быть уникальным.
 
proexp сказал(а):
так я пользовался подобной сборкой по этому знаю о чем речь- это все лежит в публичном доступе, но и у тебя нету четкой цены.
Автор ты хитрец, мы тебя раскусили.

В архиве потому что когда пакуешь 2 раза в рар то смарт пропадает, что ты скажешь на это?)
все мы чем то пользовались и что то отдаленно похожее где то лежит, тот же mimikatz

ты же понимаешь что у всех пользователей стоит по УМОЛЧАНИЮ облачная защита и отправка подозрительных файлов в облако?

соответственно покупаешь ты крипт на свой файл и начинаешь его лить, он через какое то время попадает в облако, где его с особой жестокостью начинают изучать. его просто пометят как вакатак.

я предлагаю сотрудничество с генерацией нужного количества сборок под твои нужны. если у тебя точечная работа и нужно 1-10 файлов это одна цена, если тебе нужно подготовить 300-500 файлов это другая цена. никакой хитрости. пиши, обсудим, договоримся.

по поводу упаковок в 100500 архивов ничего не скажу, т.к. не знаком с этим. в теме есть видео, специально снимал, чтобы не было таких вопросов. их немного, посмотри хотя бы третье видео.
 

rmclient.dll on HijackLibs

Check out the entry for rmclient.dll on HijackLibs - it is loaded by applications vulnerable to DLL Hijacking!
hijacklibs.net

tbs.dll on HijackLibs

Check out the entry for tbs.dll on HijackLibs - it is loaded by applications vulnerable to DLL Hijacking!
hijacklibs.net

Screenshot-2.png
Screenshot-3.png
 
xxXOXxx сказал(а):
каждая сборка получается уникальной.
xxXOXxx сказал(а):
ничего не может быть уникальным
Понял
proexp сказал(а):
у тебя нету четкой цены
Он не может преподнести свой продукт в 1 сообщении, а ты хочешь чтоб он его продавал=)
В начале пишет %, а теперь "продажа файлов":
xxXOXxx сказал(а):
если у тебя точечная работа и нужно 1-10 файлов это одна цена, если тебе нужно подготовить 300-500 файлов это другая цена
Или это изюминка на торте?

Как изменчив мир, когда пытаешься толкнуть фуфло...ТС напомнил мне r1z/johndoe7
 
xxXOXxx сказал(а):
и к чему ты это запостил?
К тому что данный метод — хлам. С zip-архива нельзя сделать запуск, будет ошибка из-за DLL. Нужно делать разархив , а это потеря конверсии. После небольшого количества установок будет детект ( поэтому то, что ты там пишешь за 300–500 установок, — это смешно. Он и 5–10 может не выдержать установок ) . Я уже сталкивался с таким методом — полное г*вно. Скрины с твоего видео ...
 
Последнее редактирование:
В шапке темы написано же DLL sideloading. Есть видео с принципом работы. Нельзя из архива стартовать - стартуй из ISO. Гавно или нет каждый сам в состоянии разобраться, нужно ему это или нет. В торговом разделе есть несколько тем с аналогичным методом - иди в каждой напиши, а то вдруг кто то не в курсе что у тебя есть мнение. А так молодец - сознательный!
 
Статус
Закрыто для дальнейших ответов.
Верх