Нерезидентный лоадер

[higgler]

Пишу для себя и продажи нерезидентный лоадер с полиморфной мутацией кода, инжектами и легитимностью. Есть на такое спрос или это заведомо мертвый проект?
В продаже нерезидентных лоадеров нет (и резидентных толком тоже).

 

[Luciferus]

Пишу для себя и продажи нерезидентный лоадер с полиморфной мутацией кода, инжектами и легитимностью. Есть на такое спрос или это заведомо мертвый проект?
В продаже нерезидентных лоадеров нет (и резидентных толком тоже).

" Инжектами и легитимностью. " Это как? Можешь в пм, если не сложно. Два взаимоисключающих понятия.

Есть на такое спрос или это заведомо мертвый проект?

Есть. Если выйдет что-то годное - спрос будет.

 

[higgler]

" Инжектами и легитимностью. " Это как? Можешь в пм, если не сложно. Два взаимоисключающих понятия.

Софт не юзает общеизвестные паблик методы, груз не хранится в памяти в чистом виде, все под доверенным процессом. Легитимность в том плане, что ав пропускает софт, так как не видит ничего подозрительного.
Для х64 есть отдельный паблик вариант - Atom bombing, тестил его месяц назад. Релиз с гитхаба ав детектит как подозрительный. Если немного переписать и подумать, то будет неплохая штука для точечных атак.
Но стоит ав закрыть доступ к таблицам или хотя бы фильтровать, то без подписи от ав этот вариант можно откидывать.

 

[Luciferus]

Софт не юзает общеизвестные паблик методы, груз не хранится в памяти в чистом виде, все под доверенным процессом. Легитимность в том плане, что ав пропускает софт, так как не видит ничего подозрительного.
Для х64 есть отдельный паблик вариант - Atom bombing, тестил его месяц назад. Релиз с гитхаба ав детектит как подозрительный. Если немного переписать и подумать, то будет неплохая штука для точечных атак.
Но стоит ав закрыть доступ к таблицам или хотя бы фильтровать, то без подписи от ав этот вариант можно откидывать.

Не тривиальная, однако, задача. Тут много нюансов, которые будут " всплывать " постепенно, главное, что-бы хватило терпения

 

[higgler]

Не тривиальная, однако, задача. Тут много нюансов, которые будут " всплывать " постепенно, главное, что-бы хватило терпения

Например? С dll и js все очень просто.
Dridex юзал Atom bombing в 2017 году. Сейчас вроде бы отказались от него.

 

[Luciferus]

Например? С dll и js все очень просто.
Dridex юзал Atom bombing в 2017 году. Сейчас вроде бы отказались от него.

Тестинг и поиск " методов ". Я в свое время занимался подобным, была аналогичная твоей идея. Но не хватило терпения. В любом случае, если ты уверен, что вывезешь это - стоит пробовать однозначно.

 

[0x57h]

как так вышло что час - два было в шапке одно теперь другое ? за пару часов появился полиморф ? и как же он не хранится в памяти если есть инъекция ?

 

[higgler]

как так вышло что час - два было в шапке одно теперь другое ?

В смысле?

и как же он не хранится в памяти если есть инъекция ?

груз не хранится в памяти в чистом виде

 

[0x57h]

В смысле?

в прямом , и груз твой в памяти будет всегда открыт

 

[higgler]

в прямом , и груз твой в памяти будет всегда открыт

Первый пост редактировался из-за мелочей.
Не совсем. Только если делать дамп процесса/диска, но для среднестатического пользователя это нереально.

 

[0x57h]

Первый пост редактировался из-за мелочей.
Не совсем. Только если делать дамп процесса/диска, но для среднестатического пользователя это нереально.

есет мсе софос нортон отлично работают с памятью кис вообще обвязывает всю ос , с работой современных ав ознакомитесь раз, раз мозгов хватило юзать windbg для создания инжекта то и двиг ав развересить сможете

 

[higgler]

есет мсе софос нортон отлично работают с памятью кис вообще обвязывает всю ос , с работой современных ав ознакомитесь раз, раз мозгов хватило юзать windbg для создания инжекта то и двиг ав развересить сможете

Речь не про ав, а про пользователя. Лоадер инжектится, подгружает груз, инжектит груз в следующий процесс. Груз можно кодировать/декодировать для маскировки.

 

[0x57h]

Речь не про ав, а про пользователя. Лоадер инжектится, подгружает груз, инжектит груз в следующий процесс. Груз можно кодировать/декодировать для маскировки.

масло масленное , к примеру проинжектили мы rundll почему нагрузку не выполнить в адресном пространстве ?

 

[higgler]

масло масленное , к примеру проинжектили мы rundll почему нагрузку не выполнить в адресном пространстве ?

Защита.

 

[Luciferus]

Защита.

Какая?

 

[higgler]

Какая?

У меня навскидку для варианта.
Первый, адресное пространство будет изолировано между объектами.
Второй, rundll - low уровень.

Но я толком не изучал это, меня больше интересуют сторонние процессы.

 

[Luciferus]

У меня навскидку для варианта.
Первый, адресное пространство будет изолировано между объектами.
Второй, rundll - low уровень.

Но я толком не изучал это, меня больше интересуют сторонние процессы.

Low уровень? В плане?

 

[higgler]

Low уровень? В плане?

support.microsoft.com/en-us/help/164787/info-windows-rundll-and-rundll32-interface

 

[Luciferus]

support.microsoft.com/en-us/help/164787/info-windows-rundll-and-rundll32-interface

Прочитал. Ничего по поводу вышесказанного не нашел.

 

[higgler]

Прочитал. Ничего по поводу вышесказанного не нашел.

Твоя версия?