А там ничего интересного, user space "rootkit"
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Идеальный RAT
- Автор темы MegadethProj
- Дата начала
Когда ратник ждать?)
Это типа инжектиться во все процессы и хукать функи нтдлл?...а для чего? чтобы юзер в програм дате не нашел заветный экзешник или что бы не увидел ключь в реестре.
Если так то вагон работы которая скорее навредит чем даст пользу.
- Автор темы
- Добавить закладку
- #44
Ты о бесплатной версии и продажнике платной или о скринах там?
Попросил у ТС'a скрины ратника, в ответ получил это
Будте аккуратнее если будете покупать.
ТС, ничего общего. Кидал валом и ты не исключение
Будте аккуратнее если будете покупать.
ТС, ничего общего. Кидал валом и ты не исключение
- Автор темы
- Добавить закладку
- #46
Значит пытался я держать дизайн рата в привате не получилось, ну ок, тогда уж скину побольше скриновПопросил у ТС'a скрины ратника, в ответ получил это
Будте аккуратнее если будете покупать.
ТС, ничего общего. Кидал валом и ты не исключение
Whichever way you decide, remember that AVs signatures will match virtually anything you develop unless your code segment is completely unique (which is unlikely). If you're going to develop VX you need to either utilize zero abstraction or complete abstraction. If you research API forwarding you'll notice that Kernel32.dll forwards a lot of functionality to NTDLL.dll (as well as an entire array of other libraries). So, either you need to familiarize yourself with lower-level programming OR go the entirely opposite route and go 100% abstraction by using GO, RUST, PYTHON, etc. Because these are decompiled at run-time the PVM (for example) makes unorthodox API calls (due to poor optimization) and it throws off heuristic analysis. Of course, the primary issue then is you're dependent on an interpreter (the PVM). I ' d suggest writing it in C or x64 ASM. As far as infection techniques go, EPO Infection on unsigned PE files. It's a classic.
Additionally, encode your strings, remove as many unnecessary libraries as possible and use as many Windows tricks you can find.
--------------------------------------------------------------------------------------
Какой бы способ вы ни решили, помните, что сигнатуры AV будут соответствовать практически всему, что вы разрабатываете, если сегмент кода не является полностью уникальным (что маловероятно). Если вы собираетесь разрабатывать VX, вам нужно использовать либо нулевую абстракцию, либо полную абстракцию. Если вы исследуете переадресацию API, вы заметите, что Kernel32.dll перенаправляет множество функций в NTDLL.dll (а также целый ряд других библиотек). Итак, либо вам необходимо ознакомиться с программированием более низкого уровня, либо пойти по совершенно противоположному пути и перейти на 100% абстракцию с помощью GO, RUST, PYTHON и т. Д. Поскольку они декомпилируются во время выполнения, PVM (например) делает неортодоксальным Вызовы API (из-за плохой оптимизации) и это исключает эвристический анализ. Конечно, основная проблема заключается в том, что вы зависите от переводчика (PVM). Я бы предложил написать его на C или x64 ASM. Что касается методов заражения, EPO Infection на неподписанных PE-файлах. Это классика.
Кроме того, закодируйте свои строки, удалите как можно больше ненужных библиотек и используйте как можно больше хитростей Windows.
Additionally, encode your strings, remove as many unnecessary libraries as possible and use as many Windows tricks you can find.
--------------------------------------------------------------------------------------
Какой бы способ вы ни решили, помните, что сигнатуры AV будут соответствовать практически всему, что вы разрабатываете, если сегмент кода не является полностью уникальным (что маловероятно). Если вы собираетесь разрабатывать VX, вам нужно использовать либо нулевую абстракцию, либо полную абстракцию. Если вы исследуете переадресацию API, вы заметите, что Kernel32.dll перенаправляет множество функций в NTDLL.dll (а также целый ряд других библиотек). Итак, либо вам необходимо ознакомиться с программированием более низкого уровня, либо пойти по совершенно противоположному пути и перейти на 100% абстракцию с помощью GO, RUST, PYTHON и т. Д. Поскольку они декомпилируются во время выполнения, PVM (например) делает неортодоксальным Вызовы API (из-за плохой оптимизации) и это исключает эвристический анализ. Конечно, основная проблема заключается в том, что вы зависите от переводчика (PVM). Я бы предложил написать его на C или x64 ASM. Что касается методов заражения, EPO Infection на неподписанных PE-файлах. Это классика.
Кроме того, закодируйте свои строки, удалите как можно больше ненужных библиотек и используйте как можно больше хитростей Windows.
ТС, смотри в сторону обхода различных защит и повышения живучести. На функционал вообще пофиг, простого файл менеджера и цмд шелла хватает всегда. Видел уже кучу продуктов, напичканных функционалом с головы до ног, но висящих в процессах под именами аля SystemUpdater.exe. Нужно делать упор на жизнь в системе в первую очередь.
То есть вы бы "купили" продукт с минимальным базовым функционалом но максимально невидимый, тоесть живущий в системных процессах(инжекты), так?
Возможно стоит создать отдельный топик где люди высказывались бы за и против, ну или если вы за можно ставить мне лайки =)
Я говорю не конкретно о инжектах. Я о разных интересных методиках, прочем-прочем. Если я покупаю ратник - он мне нужен для шпионажа за жертвой. А если жертва увидит что-то неладное - моему плану конец. Поэтому, да, именно.
эээээ...для шпионажа нужно много всякого...цмд и файл менеджера явно мало. Получается програмный комплекс уже нужен.
А так то наш резидентный (юзер мод)код может жить либо в своем процессе(смотрим про систем упдатер) либо в виде инжекта в системный(например сидит в конхосте и эксплорере).
Отсюда вопрос а будет ли кто то платить за такую невидимость с минимальным функционалом. Вы же захотите модульный продукт что бы к этому незаметному коду подгружать модули (например длл расширяющие функционал).
А так то наш резидентный (юзер мод)код может жить либо в своем процессе(смотрим про систем упдатер) либо в виде инжекта в системный(например сидит в конхосте и эксплорере).
Отсюда вопрос а будет ли кто то платить за такую невидимость с минимальным функционалом. Вы же захотите модульный продукт что бы к этому незаметному коду подгружать модули (например длл расширяющие функционал).
За это однозначно стоит заплатить, имхо. Есть множество факторов, влияющих на успех операции, но чёрт, спалиться на такой мелочи будет очень глупо. =)
Интересно было бы послушать мнение остальных.
А я вот что то не видел что бы кто то писал модули функционала которые можно было бы грузить на своих ботов(дллки), а ведь это самый разумный подход. Кто то бы занимался тем что делал и постоянно улучшал базу, а кто то отдельные модули фнкционала.
А пока что выходит каждый побыстрее лепит все в кучу и выходит говнецо, потому что на то что бы все это доводить до совершенства времени не хватит.
А пока что выходит каждый побыстрее лепит все в кучу и выходит говнецо, потому что на то что бы все это доводить до совершенства времени не хватит.
Такое очень широко практикуется, но не в паблике. Только безумец будет торговать софтом ( качественным ) для шпионажа, поддерживать сотни хомячков, зарабатывая на этом копейки. Имхо, всё что есть в продаже ( или анонсируется ) в паблике - мусор, иначе бы его не светили смертным. Тут, в спайвари, сильно разойтись можно, подключив смекалку. Начиная от всяких малоизвестных фич винды ( А таких куча. ), заканчивая руткит технологиями. Но кому это нужно?
- Автор темы
- Добавить закладку
- #55
ну и где-же все эти ваши 'приваты'?
В приватных приватах. =)
А тогда и как бы нет проблемы если вас пускают в эти самые приваты =). Выходит все уже придумано..я походу того...дрыщь.
Я сам пишу подобное временами, так что да, разогнаться тут реально можно. Да и знаю многих людей с разным софтом. Сейчас в паблике есть куча разных фишек, с помощью которых можно собрать " пушку ". И я не про всякие там COM Hijacking и подобное, а реально интересные технологии. Нужно лишь курить разные блоги, собирая информацию по частям.
А можно нам немножечко этих блогов, пускай даже частями...а то я только вот хотел IFileOperation а тут вы.., теперь как то уже и западло.
Да без проблем. Вот парочка -
Так-то их в разы больше. Технологии, описанные там, не являются чем-то новым, но пока что являются более чем юзабельными и в паблик малвари не встречаются.
Скрытый контент для пользователей: Whisper.
Так-то их в разы больше. Технологии, описанные там, не являются чем-то новым, но пока что являются более чем юзабельными и в паблик малвари не встречаются.