Идеальный RAT

[MegadethProj]

Depression можно мне тоже хайдец?

 

[Depression]

Depression можно мне тоже хайдец?

Поищи сам. Нет желания лить это всё в публику, методы умрут в момент.

 

[Depression]

Кстати, в идеальном рате обязательно должен быть хвнц или аналог. Забыл это сказать ещё в начале. Автор, возьми на заметку.

 

[MegadethProj]

Теперь рат работает от explorer.exe (поддерживает только x64 системы)

 

[Depression]

Теперь рат работает от explorer.exe (поддерживает только x64 системы)

Твой рат является х64 бинарём?

 

[MegadethProj]

Теперь рат поддерживает как x64 ос, так и x86
скорость remote desktop немного уменьшилась.

 

[MegadethProj]

следующая задача:
шифрование трафика

 

[MegadethProj]

Твой рат является х64 бинарём?

нет

 

[Depression]

нет

 

[MegadethProj]

Скрытое содержимое

нет, не та.

 

[Depression]

 

[Det]

Если делал на питоне то мог посмотреть функции с бота BYOB может что-то взял

 

[Depression]

Если делал на питоне то мог посмотреть функции с бота BYOB может что-то взял

Рат на питоне? Ты это серьезно сейчас?

 

[ColorS]

Рат на питоне? Ты это серьезно сейчас?

а чего, если код обфусцировать хорошенько, может и сгодится

 

[Depression]

а чего, если код обфусцировать хорошенько, может и сгодится

А как ты это представляешь? python.exe с собой тащить, что ли? )

 

[vtx]

Теперь рат работает от explorer.exe (поддерживает только x64 системы)

Как внедрение делал? небось классические связки OpenProcess + WriteProcessMemory + CreateRemoteThread/NtSetThreadContext? единственное что я могу посоветовать, так это удалить визуалку.

 

[MegadethProj]

Как внедрение делал? небось классические связки OpenProcess + WriteProcessMemory + CreateRemoteThread/NtSetThreadContext? единственное что я могу посоветовать, так это удалить визуалку.

Не будь таким токсичным бро)

 

[ColorS]

Рат на питоне? Ты это серьезно сейчас?

А как ты это представляешь? python.exe с собой тащить, что ли? )

ага))

 

[SoftICE]

Как внедрение делал? небось классические связки OpenProcess + WriteProcessMemory + CreateRemoteThread/NtSetThreadContext? единственное что я могу посоветовать, так это удалить визуалку.

По хорошему использовать ядерные баги которые позволяют свой шеллкод в ядре исполнять, та же use after free бага октября 2018. Там можно в кернел пролезть своим шеллкодом и уже оттуда через APC миграцию сделать в юзермод процесс основным модулем, антивирусник не поймает. Еще можно в целом сетку в ядре реализовать через TDI напрямую, регнуть устройство и через ioctl общаться со своим драйвером из юзермодной компоненты, так всякие мониторилки не запалят. Нужно только реализовать будет авторизацию на прокси, тот же нтлм и тд, иначе на некоторых корп машинах может не пустить. Все остальное лажа для нубов. Разумеется это не поможет от сетевых защит, которые мониторят траф вне узла где работает кернелмод компонента. Но хорошо таргетить всяких сусликов криптомиллионеров и прочих

 

[SoftICE]

del сказали я палюсь