Сегодня мне на глаза попалась эта статья https://www.securitylab.ru/news/559886.php . И я решил поднять тред по этой статье. Давайте пофантазируем, как оно могло бы работать под капотом, какие были бы нюансы и тд. Из теории, могу прикинуть, что можно будет переписать тоже самый пончик, что бы он намеренно "уродовал" pe и dos. Потом написать раннер, который сможет работать с полученным шеллкодом, потом этот раннер заинжектить в какой нибудь не примечательный процесс. Сухая идея. Жду ваши ответы
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Обсуждение статьи securitylab
- Автор темы DEKAn272
- Дата начала
если уж портить образы то желательно какие нибудь ключевые поля по типу оффсета до точки входа или заголовки секций.
но сканер памяти будет сканить весь регион в котором лежит образ, так что имея в нем детектируемую последовательность байт никакая порча заголовков не поможет
но сканер памяти будет сканить весь регион в котором лежит образ, так что имея в нем детектируемую последовательность байт никакая порча заголовков не поможет