Задаем вопросы.
Умельцы тут есть, и мы всегда найдем ответы на ваши вопросы.
Умельцы тут есть, и мы всегда найдем ответы на ваши вопросы.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
[MALWARE] Задай вопрос - получи ответ
- Автор темы rtkm
- Дата начала
Какой принцип работы стилера?
- Автор темы
- Добавить закладку
- #3
Поиск файлов на ПК,паролей,кошельков и т.д.Если надо расшифровка инфы и отправка на сервер.
Откуда он берет пароли? Как узнать, где та или иная программа хранит пароли и извлечь их?
- Самый простой способ: нагуглить.
- Ещё вариант: перебор наиболее вероятных папок вручную
- SysTracer
- process explorer (*кликабельно*) + "ctrl+L", можно увидеть открытые файлы, но если программа открывает и закрывает файл с паролями только когда требуется прочесть/записать в него что-либо (что весьма вероятно), то может и не получится "поймать" файл.
- Самый надёжный, но не самый быстрый вариант: отреверсить (к примеру, с помощью IDA+x64Dbg/Immunity Debugger) программу и выяснить - где она хранит пароли.
Последнее редактирование:
Интересует такой вопрос. Некоторые селлеры инсталлов льют файл со своих лоадеров. Скорость запуска где то 1000 за 3 минуты. Я пробовал написать свой лоадер, но АВ его удаляют через пару дней. Можете подсказать, как сделать/достать/купить неубиваемый лоадер? И возможно ли это?
Неубиваемого нет и быть не может, разе что свой код не куда не заливать и не как не использовать и то не поможет ( могу обьяснить подробней если надо)
Единственное что ты можешь сделать это писать и постоянно совершенствовать, плюс каждый залив (операция) как минимум свой билд а в реале лучше: новые стринги в коде, импорты, ресурсы и другой серт.
По сути борьба с АВ это игра в кошки мышки, если софт будет использован в массовых проливах то игра еще сложнее, то есть надо поддерживать код постоянно чистым и свежим, переписывая и совершенствуя.
Единственное что ты можешь сделать это писать и постоянно совершенствовать, плюс каждый залив (операция) как минимум свой билд а в реале лучше: новые стринги в коде, импорты, ресурсы и другой серт.
По сути борьба с АВ это игра в кошки мышки, если софт будет использован в массовых проливах то игра еще сложнее, то есть надо поддерживать код постоянно чистым и свежим, переписывая и совершенствуя.
крипторы решат твою проблему) И то надо стаб обновлять по мере детектов
А как обновлять стаб? Т.е. загружать новый ехе? Но это же Dropper Trojan. Участок кода, ответственный за обновление стаба будет детектиться в рантайме. К тому же нужна пропись в реестр для автозапуска. На этом этапе ехе улетит в аверлабу на анализ. Или нет?
Лодырь не инсталится в систему задача лоадера просто выкачать и запустить софт, обычно еще и опознать систему и по этим данным выбрать что именно загружать и запускать. А вот записывается в автозапуск уже софт им запущенный бот/рат/итд тип
Крипторы проблему не решают, точнее решают но не на долго, в любом случае если хочется быть впереди АВ тебе нужен свой софт с исходниками на руках, своими исходниками или как минимум чужие с переписанными ключевыми функциями и методами.
лодырь пишется в авторан или таски еще как. например ботнет - лодырь с плюшками.
Бот бывают с функцией лодыря но это не делает его лодырем, боты бывают и с функциями стила но стилом от этого не становятся.
лоадеры бывают:
резидентными - пишутся в автозагрузку и выполняют задания пока живы.
нерезидентными - в автозагрузку не пишутся, выполняют задание и завершают свою работу, либо висят в памяти и выполняют задания, до перезагрузки.
резидентными - пишутся в автозагрузку и выполняют задания пока живы.
нерезидентными - в автозагрузку не пишутся, выполняют задание и завершают свою работу, либо висят в памяти и выполняют задания, до перезагрузки.
Задача лодыря загрузить что понятно из названия, а выполняющий резидентно задания берущий их из админки это уже бот или троян.
Это все игра слов и не суть важно.
Да, малварь это постоянная гонка вооружений, причем гонка весьма тупая (в 99% случаев). С одной стороны сидит толпа народа, которая делает софт максимально похожим на легитимный (добавляет комбинации апи в импорт, разбавляет файл мусором и т.д.), с другой толпа ищет какие-то признаки, вида строка+строка, или поведение, и добавляет детекты. При этом под расдачу попадают и легитимные проги, скажем почти все упаковщики палятся аверами как малвара, или есть список "подозрительных" апи-функций, за вызов которых будет детект , хоть даже твоя прога 100% белая. Реальной борьбы нет, аверы могли бы ликвидировать 99% малвари (1% отдаем на эксплойты и прочие зиродей методы), но это им не выгодно.
А так, надо постоянно обновлять лоадер, т.е. чистить его (имея сорцы, лучше так, чем криптовать, особенно учитывая качество крипторов).
Да, малварь это постоянная гонка вооружений, причем гонка весьма тупая (в 99% случаев). С одной стороны сидит толпа народа, которая делает софт максимально похожим на легитимный (добавляет комбинации апи в импорт, разбавляет файл мусором и т.д.), с другой толпа ищет какие-то признаки, вида строка+строка, или поведение, и добавляет детекты. При этом под расдачу попадают и легитимные проги, скажем почти все упаковщики палятся аверами как малвара, или есть список "подозрительных" апи-функций, за вызов которых будет детект , хоть даже твоя прога 100% белая. Реальной борьбы нет, аверы могли бы ликвидировать 99% малвари (1% отдаем на эксплойты и прочие зиродей методы), но это им не выгодно.
А так, надо постоянно обновлять лоадер, т.е. чистить его (имея сорцы, лучше так, чем криптовать, особенно учитывая качество крипторов).
По поводу игры слов, не согласен с вами, тут речь идет о терминах которые как не крути должны иметь какое-то одно значение иначе мы будем вводить друг друга в заблуждение.
А поводу теории заговоров АВ это конечно весьма популярная точка зрения но я считаю что очень далека от реальности. Просто начнем с количества софта написанного под Win далее добавим еще количество версий WIn ну сверху приправим обратной совместимостью, щепотку корп решений с закрытым кодом и мы получим +- майкрософтовский зоопарк в котором куча софта ведет себя как малварь и если АВ начнут себя вести более жестко мы получим кучу ошибочных срабатываний, что в принципе и относится к ситуации с пакерами (ну да +- тут есть нюансы что методы пакеров да и сами пакеры любимы очень разными малварекодерами). Да у нас решения такие как endgme, fireye которые смотрят на события и следят как за каждым процессом так и за картиной в общем, это конечно хороший подход, но пока можно мимкрировать, у нас есть АВ которые файл неизвестный облаку не даст запустить, вроде тоже выход но очень неудобный, то есть что мы видим АВ пытаются бороться но или пока метод сырой или слишком много неудобства. По этому я считаю что нет заговора ( когда-то был но не заговор а что-то из разряда: зачем тратить деньги если можно не тратить) но на данный момент то количество малвари которая бегает заставляет их напрягаться, но получается пока что плохо.
Отредактировал немного орфографию и текст.
А поводу теории заговоров АВ это конечно весьма популярная точка зрения но я считаю что очень далека от реальности. Просто начнем с количества софта написанного под Win далее добавим еще количество версий WIn ну сверху приправим обратной совместимостью, щепотку корп решений с закрытым кодом и мы получим +- майкрософтовский зоопарк в котором куча софта ведет себя как малварь и если АВ начнут себя вести более жестко мы получим кучу ошибочных срабатываний, что в принципе и относится к ситуации с пакерами (ну да +- тут есть нюансы что методы пакеров да и сами пакеры любимы очень разными малварекодерами). Да у нас решения такие как endgme, fireye которые смотрят на события и следят как за каждым процессом так и за картиной в общем, это конечно хороший подход, но пока можно мимкрировать, у нас есть АВ которые файл неизвестный облаку не даст запустить, вроде тоже выход но очень неудобный, то есть что мы видим АВ пытаются бороться но или пока метод сырой или слишком много неудобства. По этому я считаю что нет заговора ( когда-то был но не заговор а что-то из разряда: зачем тратить деньги если можно не тратить) но на данный момент то количество малвари которая бегает заставляет их напрягаться, но получается пока что плохо.
Отредактировал немного орфографию и текст.
Последнее редактирование:
Ну тогда вы должны знать, что лоадеры есть резидентные и нерезидентные. Это общепринятая практика. Откройте любую комерц тему по малваре, и убедитесь сами. Даже далекие от малваре кардеры и сотоварищи это знают. Лоадер это то, что загружает другой файл, не-резидент отличается от резидента отсутствием автозагрузки. Все.
Они есть уже лет 10-15. Помню дебаты 2006 года, как
Вот в чем проблема победить те же криптолокеры? Неужели так сложно отловить попытки записи в файлы? Никакой легитимный софт не ведет себя так, да даже банально по попыткам записи в какой-то pdf можно сразу блокировать софт как вредоносный. Но нет, аверы этого не умеют. Зато теперь почти любая прога с CryptoApi детектится как варианты gandcrab'a. И таких примеров множество.
от криптолокеров есть канарейки.
а вот палить запись в пдф это и есть жестить.
а вот палить запись в пдф это и есть жестить.
Есть ли нормальные способы добавить в шедуллер таск или в автозапуск?
Софт написан на c#. Спасибо заранее за ответы
Софт написан на c#. Спасибо заранее за ответы