недавно один гений с чата рассказал про ординалы функций
против AV конечно вряд ли поможет, но со статиком помогает снизить детекты.
детектв с прямыми вызовами в секции импорта:
вызов через ординалы:
а сегодня я написал программу на ассемблере фасм, она запускала процесс по его pid-у, выделяла в ней 4000 байт и записывала туда мой шеллкрд, удивительно, без ординалов выдавало 8 детектов, с ними - 4.
суть моего вопроса: можно ли как то еще снизить детекты помимо динамического подключения либы?
пробовал через peb, то есть mov rax, [gs:60], далее там выбираю нужную мне структуру и нахожу либу, как пример - kernel32, подключаю и вызываю функции без прямого подключения в таблице импорта. но разница между динамическим подключением и этим способом особо нет, именно в рамках количества детектов
против AV конечно вряд ли поможет, но со статиком помогает снизить детекты.
детектв с прямыми вызовами в секции импорта:
вызов через ординалы:
а сегодня я написал программу на ассемблере фасм, она запускала процесс по его pid-у, выделяла в ней 4000 байт и записывала туда мой шеллкрд, удивительно, без ординалов выдавало 8 детектов, с ними - 4.
суть моего вопроса: можно ли как то еще снизить детекты помимо динамического подключения либы?
пробовал через peb, то есть mov rax, [gs:60], далее там выбираю нужную мне структуру и нахожу либу, как пример - kernel32, подключаю и вызываю функции без прямого подключения в таблице импорта. но разница между динамическим подключением и этим способом особо нет, именно в рамках количества детектов
Последнее редактирование: