Разработка DL лоадера

[demien]

порки365 расскажи по подробнее об этом...

p.s. тут палить нечего и не перед кем. тут 10-15 чел. максимум аудитория, и те кто допущены не станут против воли с твоей жабой что-то делать

 

[waahoo]

попробую сам.
порки говорит о реализации софта в котором нету стандартного функционала троя, парсера команд, етц. речь идет о софте с дыркой, заранее известной разработчику.
да, как вариант это существовать может, но я не вижу в таком случае каких либо проблем у аверов, разве только с классификацией.
т.е. с другой стороны это не лучше чем склеенный винамп.

ps: я кстате делал подобное, только это был джаббер бот, для точечной атаки, в базовом функционале это просто пайп к выводу cmd.exe, а также эта хрень по задумке могла выполнять шеллкоды в своем АП, присланные также через джаббер.

 

[demien]

пусть склассифицируют, но т.к. нет вред. функционала, то и детектить однозначно не смогут, а напихать "околотемных апишек" из гди32, опенгл32 етц с более-менее полезной нагрузкой без проблем можно.
иначе, если аверы станут детектить весь софт, который с дырками, это будет лол.

темболее распознать факт, для чего используется софт аверам будет малопонятно пока тема не уплывет в паблик...

 

[паук]

Вообще то это я говорю а не порки, ему я такую идею предложил

(Выебнулся? )

 

[demien]

эм.. подумал над этим... как мы узнаем, кто был заражен, когда в онлайне, т.е. вы грузим связкой такое "назовем его уязвимое приложение", и как мы узнаем где оно заинтсаллилось, его айпи, стоит ли фаер, когда в сети етц...

 

[Ragnar]

а с чего вы взяли что не будут орать они на вашу прогу? годика 4 назад стал палится пакер аспак, ну я написал солодовникову лично что типа, вот айай, клам ав палит любой файл, даже блокнот пакованый. в ответ он попросил лицензию его пакера купить и сказал что типа разберемся. в итоге воз и ныне там

 

[demien]

годать на кофе не вариант.. нужно пилить и пробовать... но как я описал выше, есть тех вопросы на которые следует ответить перед реализацией сего

 

[паук]

Поскольку программа для "смены картинок" учитывает интересы пользователя она вполне имеет право слать в ЦЦ инфу какюу то. ИД бота так точно. Это не подозрительное действие. Его ИП мы узнаем из отстука например а не из отчета. Когда онлайн тоже не проблема. Программа в автозапуске и лезет за "новой библиотекой картинок" периодически.

 

[Ragnar]

ога, но при этом не имеет окон и прописывается в установку без установщика.
а, ну тогда я спокоен.

 

[demien]

есть и положительное в этом
челокев сам разрешит всё.. отстук под видом апдейта етц...
однозначно есть что то)

 

[паук]

Почему не имеет окон?! Прилепи ей окон. только не рисуй их. Логика прогаммы может быть такой что свиду это похоже на то, что программа стучит в инет за обновлениями работает, но юзер не пользуется ею. Поэтому она и не имеет активного окна.

У гуглхрома, например, есть Updater.exe. Он не имеет окон, но висит в автозапуске и периодически ищет апдейты. Разве сложно сделать тоже самое?!

Тоесть сначал заливается на машину апдейтер маленький, а потом для отвода глаз можно загрузить пару тройку файлов, который не запускаются никогда, в которых будет функционал уже окошек и так далее. Типа это все 1 система.

 

[Ragnar]

у гуглхрома есть подпись это раз, ни одна логика не спасает от реверса это два

 

[паук]

Так пусть реверсят, вредоносного функционала нет

 

[porky365]

Так сказать сделать мега камуфляж :crazy:

 

[demien]

причем подобного рода ведь можно создавать не только программы-ченжеры рабочего стола. под такую тему много "псевдолегитимного" (с) софта можно напридумывать и у каждого будет право на обновление

 

[porky365]

а у меня в голове другая идея, создание вируса без телесного, ну чтобы понятней было что я думаю. Все мы юзаем exe,dll,sys это все один файл и не важно как он запускается. А что если как такового файла нет. Вся полезная нагрузка идет из сети, задача кода всегов лиш запуститься с ос, неважно какие полномочия , ну не всегда иногда если это лоадер это не критично. Вот над чем я щас работаю. Думаю взять более глубоко, mistfall заражал файлы и копировал туда все тело, но щас еще есть .net,.js,.pdf,.doc и все это тоже надо. Я не хочу в даватся в подробности почему .js

 

[demien]

факт в том, что некое "тело" все равно будет присутствовать... по нему и запалят, идея со сплоитом как то больше видется реальной

 

[porky365]

нет тело будет не одно, это даже не тело а тупо код. ну я как то после покажу...

 

[demien]

хорошо... но в любому случае дело дальше бла-бла тут не идет вижу...

 

[demien]

Кто-то тут еще бывает?
Взял перечитал тему, и.. может быть оживим раздел?
Тут всё-же активности больше со стороны мемберов.
В конце каждого месяца можно "наименее приватные" топы переносить в паблик по общему голосованию. В конце концов реанимировать сам раздел... Есть много тем на которые можно пообщаться!