Тогда пиши для 95-10 включительно.
Не все, но их немного. Те, кто не обновляют остались на 95.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
malware [Sourse] USB Spread C# .Net
- Автор темы GayFox
- Дата начала
Не все, но их немного. Те, кто не обновляют остались на 95.
да зайди в любой магаз, там до сих пор на POS стоит XP я тебе для примера
И что? В крупных городах после котлеты поставили новые машины.
Зайди в любую организацию по области, ты у них и 95 найдешь.
так и зачем показывать свою некомпетентность и пропускать кучу трафа со стафом?
Кто пропускает? Льют на бугор. Думаешь, у них остались машины ниже 7?
Интересно разве что для тех кто льет на снг.
ты думаешь только у нас бедная страна которая экономит или забивает хрен?
Еще можешь как у крабса, по Сирии лить. Не считаешь, что нужно вносить бедные страны в блок и пускать только бугор?
Ладно флеймить, я сам поклонник нативной малвари, но - как бы ТС не продает ее. А выложил бесплатно. Раздел посвящен и шарпу в т.ч. , выложили малвару на шарпе. Пусть будет.
Раз уже флудим.
Куда пропал админ?
Не знаю, мб уехал отдохнуть на выходные.
В пятницу вечером еще общался с ним, он ничего не говорил.
1) доля win2000 и win xp минимальна
2) если использовать как powershell bootstrap - то проблем нету
3) если сравнить с asm - то msil по проще будет немного
4) возможно, например путем создания pvm
5) многопоточный контекст управления может сильно мешать такому анализу
да какие вопросы) пусть, просто я намекнул ну как надо) а послушать мой совет или нет, это же дело каждого
1) Но она есть, кстате встречаю не так редко как сам думал.
2) Не думаю что есть способ на сегодняшний день избежать логов при использовании ps, разве что по принципу ds останавливать саму запись в логи, и то это только под системой и при этом врядле системы защиты при этом будут молчать.
3) Спорить не буду, но думаю asm программисты могли бы, но я к ним не отношусь.
4) Не обладаю знаниями в этом вопросе настолько чтобы написать что-то определенное ( изучу вопрос тогда отпишусь ) но одно точно в pe многое что нужно делать, утилитами либо кодом дополнительно для .net, есть по умолчанию.
5) Может и так, но на сегодняшний день когда современные системы защиты видят полностью все начиная от действий файла и заканчивая действиями всего к чему он обращался и к чему обращался его child + сетевая активность, думаю это будет не оочень эффективно ( сам такие приемы не использовал )
1 - "иногда" есть очень редко и становится все реже (https://www.fireeye.com/blog/threat...our-own-land-novel-red-teaming-technique.html)
2 - механизмы логирования powershell (enhanced PowerShell logging) во первых нужно врубить во вторых читать + это не касается PowerShell 2.0
3 - "синтаксис конечно другой и вроде более читаемый но как не крути. любой язык это только язык и простота зависит от его знания," - сам ответил на свой контр-аргумент
4 - https://yck1509.github.io/ConfuserEx/ один из примеров
5 - это ничего общего с .NET не имеет, проктивная сигнатура / динамика она и в африке проактивная сигнатура /динамика
малварь должна быть native, по крайней мере core - пока не убедил ))
Последнее редактирование:
Причем статья о .net модулях в cs к тому что иногда они ( не так редко как кажется, я 3 раза из 10 встречаю) есть терминалы на старых ОС.
Рафаэль использует .net как модуль не более, сам бекон кобальта сделан pe и работает на xp и 2000, и в этом вопросе у него не меняется начиная с первой версии 3 ветки cs которая пошла без привязка к mrtasploit. Я не говорил что я против .net который живет только в памяти.
В любой нормальной сети все это включено и анализируется, в той же ссылка на сайт fe что вы прислали описывается о переходи с ps на .net для модулей. Вторая версия не так хорошо логируется встроенным в win софтом, но логи все-же есть и при желании есть сторонние решения.
Где я ответил на контр аргумент? Точнее где он контр? Это скорее размышление на тему вслух, если вы думаете что цель моих постов это именно спор... тогда наверное мне не стоит писать, в общем я не спорить хотел а донести до всех кому это интересно что малварь должна быть pe, а учитывая что творится в мире АВ сегодня, еще и не в exe, но судя по всему вам тоже надо много раз наступить на грабли чтобы это понять.
https://github.com/CodeShark-Dev/NoFuserEx тоже пример, и так со всем, как не крути на любой пакет можно слепить анпакер как и для pe. Просто pe не может быть декомпилен, точнее может но только в асм и то корявый.
Возможно и так только я писал об этом в контексте ответа который писался о многопоточности, о том что внутри софта это может и усложнит анализ а вот за пределами если анализировать по действиям и действиям чайлдов то особо разницы нету.
Так наверное и не стоило пробовать, сидите на .net и это будет правильно, проще анализировать и меньше геморроя для АВ компаний.
Пойду в общем пилить лоадер
Так наверное и не стоило пробовать, сидите на .net и это будет правильно, проще анализировать и меньше геморроя для АВ компаний.
Пойду в общем пилить лоадер
нет не стоило, и да, продолжаем упорно сидеть на .net
касательно "меньше геморроя для АВ" можно дальше поспорить но наверное нет смысла, спасибо за диалог
Ну-Ну USB Spreader такой актуальный в 2019 году)
я попробую на сервере win2k.
нет не стоило, и да, продолжаем упорно сидеть на .net
Порофлил)
Стиллер, написанный на чистом powershell + amsi bypass + свой обфускатор на основе AST(не Invoke-Obfuscation, IO это больше пакер) даёт на выходе чистый рантайм на всех топ ав (комодо, деф, Каспер, Аваст, нод, дрвеб, авира, mcafee), однако здравствуйте ))
Так что про «меньше геморроя» я бы поспорил.
Идея неплохая, но мелькающее окно cmd - это перебор.