• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос по дропперу

Отслеживать
montanaboy сказал(а):
Почему бы не использовать маленький шеллкод, который загрузит файл/другой шеллкод 100500кб и запустит с диска/в памяти ? Доп stage никогда не был проблемой.
Не везде это возможно

montanaboy сказал(а):
Брать готовые статик билды от разработчиков библиотек и линковать к своему коду, если либа популярная, ее сигнатуры по всему миру на куче пк уже есть, детект туда невозможно влепить.
Какой наивный...

montanaboy сказал(а):
Для менее популярных либ или у которых нет готовых сборок от разработчиков, собираем библиотеки сами с морфингом/обфускацией.
Отлично, тоесть усложним задачу
Используем либу - ловим детект - пишем морфер - морфим либу
(здесь должна быть эмодзи клоуна)


montanaboy сказал(а):
Смотря что в этих 2.5мб. Даже если там много сторонних библиотек, все это можно подготовить, чтобы собралось без использования seh/tls/delay import и других вещей, которые триггерят неопытных крипторов. Такой файл запустится любым загрузчиком с полтычка.
Все эти ограничения в малвардев пришли из-за неопытности подавляющего большинства крипторов. Они не могут, работа останавливается. Хотя софт свои функции выполняет в чистом виде. Понятно, что мы не в вакууме находимся, и если на рынке нет нормальных крипторов, то кодерам софта приходится прогинаться под эти ограничения. Но если судить обьективно - это косяк крипторов, хорошие решения спокойно грузят даже аномальные файлы. Из публичных я бы взял за эталон upx, он грузит все что угодно, с любым говном на борту. Исходный код открыт. Это должно быть азбукой для любого криптора.
Имхо криптить твои 2.5 метра геморой - банально хранение пейлоада будет сложно скрыть в виду разницы в размерах секций, потому в плане веса не все так просто и однозначно, условно я писал кейлогер на плюсах со сборкой в шеллкод - получилось чуть менее 30 кб, и криптовать такое очень и очень легко

меньше кода для обработки пейлоада - меньше точек для детекта, я видел решения с несколькими встроенными стабами, внешний запускает шелл и не более, затем уже внутри полу пе - полу шелл код который содержит все логику

Upx не плохой образец загрузчика пе, но уже достаточно длительное время в паблике лежит технология использования виндового загрузчика, что упрощает жизнь в разы!
Upx - это именно про загрузчик а не скрытие от детектов, простоту чистки и тд


montanaboy сказал(а):
Поддержу, погоня за малым весом как основная цель - это гонка за механическим зайцем на собачьих бегах. Чем больше файл похож на среднестатистический белый бинарь, тем лучше. Все советы убирать CRT, резать вес, и тд. чистой воды бессмыслица, если и без этого файл нормально криптуется.
Собственно сам себе противоречишь
  • Чем больше софт похож на белый бинарь, тем лучше
  • Все советы бессмыслица если файл и без этого криптуется

зачем нам тогда пушистый белый софт, если мы его все равно криптуем
Наоборот будет лучше если он будет максимально простым, можно обойтись банальным мапингом секций и релокациями, да и такой софт можно легко собрать в шеллкод без VirtualAlloc + VirtualProtect

Объяснять нужду в шеллкодах - не собираюсь
 
malware_cryptor сказал(а):
Знания лишними не бывают, так можно сказать про все - "таких задач 1 к 1000, зачем мне тратить на это время"
Знания лишними не бывают, но иногда не стоит зацикливаться на пройденном этапе.
malware_cryptor сказал(а):
Собственно вопрос к тебе - а ты сам то что умеешь? Чего добился чтобы выебываться тут
Ты находишься на форуме, где не принято рассказывать всем подряд, где ты, что ты, как ты. Но мои знания позволяют мне вести дискуссии на эту тему.

malware_cryptor сказал(а):
чтобы нагружать криптора?
То есть нагрузка на твой мозг растет пропорционально размеру файла ? Ничего не понял, ладно.

malware_cryptor сказал(а):
Обновление либы != переписывание ее с нуля
Зачем переписывать, разговор шел про релизы билдов библиотек от разработчиков этих либ. Вышло обновление - перелинковал новый .lib, если api не сменился. Вместе с тобой это сделали тысячи разрабов использующих либу, и ты снова затерялся в толпе.

malware_cryptor сказал(а):
Даже переписывание с 0 не гарантирует что ты не напишешь похожий код
Морфи/обфусцируй, если собираешь либы с сорцев.
 
montanaboy сказал(а):
То есть нагрузка на твой мозг растет пропорционально размеру файла ? Ничего не понял, ладно.
Цель криптора это делать андект, а не ебаться с тем как твой пе загружать


montanaboy сказал(а):
Зачем переписывать, разговор шел про релизы билдов библиотек от разработчиков этих либ. Вышло обновление - перелинковал новый .lib, если api не сменился. Вместе с тобой это сделали тысячи разрабов использующих либу, и ты снова затерялся в толпе.
Обновление библиотеки != ее переписывание
Если библиотеку не переписывают, а меняют часть функционала - то остальной функционал имееет теже сигнатуры
Да и обновы ходят не каждый день\неделю

montanaboy сказал(а):
Морфи/обфусцируй, если собираешь либы с сорцев.
Если ты собираешься морфить библиотеки в целом, то тебе белый билет светит
 
malware_cryptor сказал(а):
Не везде это возможно


Какой наивный...


Отлично, тоесть усложним задачу
Используем либу - ловим детект - пишем морфер - морфим либу
(здесь должна быть эмодзи клоуна)



Имхо криптить твои 2.5 метра геморой - банально хранение пейлоада будет сложно скрыть в виду разницы в размерах секций, потому в плане веса не все так просто и однозначно, условно я писал кейлогер на плюсах со сборкой в шеллкод - получилось чуть менее 30 кб, и криптовать такое очень и очень легко

меньше кода для обработки пейлоада - меньше точек для детекта, я видел решения с несколькими встроенными стабами, внешний запускает шелл и не более, затем уже внутри полу пе - полу шелл код который содержит все логику

Upx не плохой образец загрузчика пе, но уже достаточно длительное время в паблике лежит технология использования виндового загрузчика, что упрощает жизнь в разы!
Upx - это именно про загрузчик а не скрытие от детектов, простоту чистки и тд



Собственно сам себе противоречишь
  • Чем больше софт похож на белый бинарь, тем лучше
  • Все советы бессмыслица если файл и без этого криптуется

зачем нам тогда пушистый белый софт, если мы его все равно криптуем
Наоборот будет лучше если он будет максимально простым, можно обойтись банальным мапингом секций и релокациями, да и такой софт можно легко собрать в шеллкод без VirtualAlloc + VirtualProtect

Объяснять нужду в шеллкодах - не собираюсь
Ты застрял в мире примитивной малвари, где на все про все один модуль, который умещается в 10кб, равносильный хеллоуворд. Есть огромные многоцелевые модульные боты, где вес всех модулей ввиду огромного функционала может перевесить десятки мб. Да такое есть, и успешно применяется. Теперь ты об этом знаешь. И криптуют такие вещи нормально, и выхлоп делают. Если у тебя возникают сложности закриптовать файл больше 250-500кб, чтобы не начались проблемы с детектами, то это твои проблемы как криптора. Если твой FUD растворяется, когда ты выходишь за рамки привычного веса билда, то это вопрос твоей некомпетентности, значит придумывай как сделать файл после крипта похожим на белый бинарик в 100мб, да там тоже большие секции, но почему же их не детяктят ? Домашнее задание для тебя найти ответ на этот вопрос.
 
malware_cryptor сказал(а):
не ебаться с тем как твой пе загружать
PE это массив байт определенной длины, тебе как криптору (если ты действительно компетентный специалист) должно быть все равно, каков размер этого массива
Спрятать этот массив в секциях для специалиста не составит труда, ты ведь специалист, правда ?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
montanaboy сказал(а):
Ну и будет у тебя +1 практически бесполезное достижение в копилке
Ты не представляешь, сколько раз мне это "достижение" пригодилось.

Вообще, когда я читаю, что какой-то важный скилл не нужен или бесполезен, вспоминаю забавную историю. Один господин, преисполнившись в своем познании, доказывал всем, что поддерживать Windows 7 не нужно, таких ОС уже не существует в природе. А потом выяснилось, что он свой 10мб лоудер на голанге компилировал с помощью модной и молодежной версии компилятора, которая уже официально не поддерживала семерку и (как следствие) с семерок не отстукивала, даже если такие и были бы. Своего рода эффект выжившего в действии, совместно с эффектом Даннинга-Крюгера, но окей.
 
Последнее редактирование:
DildoFagins сказал(а):
Вообще, когда я читаю, что какой-то важный скилл не нужен или бесполезен, вспоминаю забавную историю. Один господин, преисполнившись в своем познании, доказывал всем, что поддерживать Windows 7 не нужно, таких ОС уже не существует в природе. А потом выяснилось, что он свой 10мб лоудер на голанге компилировал с помощью модной и молодежной версии компилятора, которая уже официально не поддерживала семерку и (как следствие) с семерок не отстукивала, даже если такие и были бы. Своего рода эффект выжившего в действии, совместно с эффектом Даннинга-Крюгера, но окей.
Я не сказал, что он бесполезен глобально. Под целевые задачи очень даже нужен. Но конкретно мне за последние годы не пригодился ни разу, но этап этот проходился в прошлом не раз. Мои слова в основном для тех, кто гонится за весом, не понимая зачем это. Гонка ради гонки. И к сожалению таких много.
 
DildoFagins сказал(а):
Вообще, когда я читаю, что какой-то важный скилл не нужен или бесполезен, вспоминаю забавную историю. Один господин, преисполнившись в своем познании, доказывал всем, что поддерживать Windows 7 не нужно, таких ОС уже не существует в природе. А потом выяснилось, что он свой 10мб лоудер на голанге компилировал с помощью модной и молодежной версии компилятора, которая уже официально не поддерживала семерку и (как следствие) с семерок не отстукивала, даже если такие и были бы. Своего рода эффект выжившего в действии, совместно с эффектом Даннинга-Крюгера, но окей.
Аврора?)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
malware_cryptor сказал(а):
Аврора?)
Ты думаешь, я помню? Я слишком старый, чтобы держать в голове подобные детали.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх