- Автор темы
- Добавить закладку
- #21
Тогда ещё вопрос , какой ЯП (кроме плюсов) подходит для написания малваря ?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Малварь на c# | В 2020 можно ?
- Автор темы DeiTy
- Дата начала
Пиши на чем хочешь и никого не слушай. Если опыта нет, что на с# что на с++, что на ps код будет уебанским, ну и наоборот это так же работает.
ой да брось,многие протекты для дотнета тоже та еще дрочка
Куча обфускации,своя вм,етц.Можешь глянуть крякмисы на тутс4ю
Ковырять такое устанешь(сужу по себе) да и в случае малвари обычно овчинка выделки не стоит
Про дотнет можно абсолютно тоже самое сказать))
Смотря какая малварь ещё будет
Всё можно спокойно реализовать на C# ( те же стиллеры, кейлогеры и прочая тема )
Если малварь более серьёзная с обхватом системных функций то (WINAPI/C++)
А с под C# по твоему нельзя работать с WINAPI?)
Или стиллеры и кейлогеры не используют WINAPI по твоему?
Можно конечно, я разве написал что нельзя?
Все они используются c WINAPI.
Для более серьёзных вещей я лишь упомянул С++ . всё!
C# и скриптовые ЯП сильно ограничены в возможностях. Для серьезных дел нужно брать C/C++, даже не задумываясь, имхо.
ТС, для начала нужно уточнить, какая именно малваря.
Если это обоссаный стилер или криптолокер - то можно и на шарпе.
Если какой-нибудь банкбот с инжектами в адресное пространство\сплайсингом функций и т.п. - то на шарпе это сделать нереально или почти нереально.
Если руткит\буткит то просто нереально.
Ну и как уже выше писали, внезапно оказывается, что у .net нету обратной совместимости. Т.е. бинарник скомпиленный для .net 2.0 НЕ запустится на тачке, на которой установлен только 4.0. Если не веришь, можешь сам попробовать скомпилить hello-world для 2.0 и попытатся запустить на 4.0
Хотя эту проблему можно легко решить нативным дроппером, который перед запуском .net payload'а будет фиксить в .net хидере 1 байт в зависимости от установленной версии .net runtime.
Если это обоссаный стилер или криптолокер - то можно и на шарпе.
Если какой-нибудь банкбот с инжектами в адресное пространство\сплайсингом функций и т.п. - то на шарпе это сделать нереально или почти нереально.
Если руткит\буткит то просто нереально.
Ну и как уже выше писали, внезапно оказывается, что у .net нету обратной совместимости. Т.е. бинарник скомпиленный для .net 2.0 НЕ запустится на тачке, на которой установлен только 4.0. Если не веришь, можешь сам попробовать скомпилить hello-world для 2.0 и попытатся запустить на 4.0
Хотя эту проблему можно легко решить нативным дроппером, который перед запуском .net payload'а будет фиксить в .net хидере 1 байт в зависимости от установленной версии .net runtime.
Я вот не знаю что вы все курите, может это вам так хочется и вы озвучиваете свои фантазии, которые принижают все что не нейтив ??? Я х#й знает откуда вы берёте все эти свои предположения, хоть бы загуглили, прежде чем писать. Каждый, кто пишет подобную чушь...это ж показывает что вы нихуя не знаете про эту технологию и полны стереотипов о дотнете, а не то, что платформа на самом деле имеет эти проблемы.
В чем? Что такого я не могу сделать на .net, что мог бы на нейтиве, из того, что есть на рынке? Руткиты/буткиты опустим только ок? такое на нейтиве только некоторые, и то с трудом написать смогут..
Давай примеры реальных банкботов на шарпе.
Насколько мне известно, шарп работает в контексте СОМ объекта винды, соответственно, ограничен этим (подсистема вин32, лузермод). Соответственно - как ты можешь написать, допустим, шелл-код на шарпе? Как и где он будет выполняться? Все равно нужно знать натив.
И почему про руткиты-буткиты не говорить?))
Ок, реализуй возможность инжектирования одновременно в x86/64 процессы, работая под wow64. Твой максимум будет сборка под Any CPU в случае шарпа, или запуск процесса соответствующей разрядности из под пш. Если не прав - поправь плз.
Все верно. И про то, что нужно знать нейтив - тоже. Вся эта тема с дотнетом выполняется на своей виртуальной машине и так же имеет свой байткод, msil называется, если не ошибаюсь. Естественно, что просто взять и заинжектить его в приложение на нейтиве не выйдет. Если тебе нужно, чтобы managed код заработал в нативном приложении, тебе сначала нужно захостить в нативном приложении CLR рантайм. Либо, если тебе нужно сделать инжект нативного шеллкода, то ясен красен тогда все по другому и знание натива приветствуется(для создания этого самого шеллкода) . Суть в том, что дотнет располагает доступом к WINAPI, по этому все основные api, которые ты используешь для инжекта и манипуляций с памятью - возможно инвокать и с под дотнета. Это я и пытался сказать ранее. Что написание на нейтиве приложений, даёт тебе только возможности нейтива. А написание на дотнете даёт и того и того. Миксовать никто не запрещает, а иногда это даже нужно/полезно.
Потому что в продажах и использовании их что то не видно)) многие говорят, что они умерли.
А так да, я ж не спорю что дотнет это юзермод в основном,но на нем можно нихуево закрепиться и сидеть чилить там. Та же малварь на пш даёт тебе избавиться от своего PE, использовать WINAPI и дотнет в одном флаконе.
Скорее всего, я поступлю именно так. Но это не отрицает того факта, что скорее всего, это можно сделать в дотнете, честно, нужды в этом особо не было, а экспериментировать с этим времени сейчас уж совсем в обрез, будет минутка, обязательно гляну. Те же инжекты контента в браузер я придумал как делать по другому. Способ не юзается никем(нигде не описано, нет в продажах, нет в ресерчах) Не инжект и хук работы с сетью в браузере и не интерсепт и инжект в трафик
на митм прокси, и не аддон браузерный...если мы говорим про банк возможности и использование этой техники, что ты предложил реализовать для инжектов в процессы с отличной разрядностью. По этому, руки до этого не доходили.
Последнее редактирование:
Попытайся. Но прыгнуть в х64 режим на дотнете у тебя не выйдет. Если ты говоришь про обходы ав и подобное - то натив в прямых руках тоже позволяет такое делать, скрипты/дотнет не панацея, тем более что нужно уметь их готовить, это эдакое извращение, которое поработает несколько лет и загнётся в связи с самообучающимися движками. Таким разве-что по домохозяйкам работать.
Тут надо ставить вопрос по другому. На каком ЯП лучше реализовать что-то. И уже от собственных нужд подбирать технологию. И ещё много другое.
- Автор темы
- Добавить закладку
- #38
Не , это уже тут дискуссия пошла на эту тему ....
Вопрос как был так и остался "Оправдан ли хейт молваря на шарпе в 2к20"
Ответ я тоже уже получил "Если руки прямые и код хороший то всё гуд"
Но дискуссия интересная так что читаю / запоминаю / учусь (как-то так .)
Хейтеры всегда есть, всегда были и всегда будут)
Главное чтобы работало всё как надо)
Одно дело писать алго для малвари другое писать анти дебаг, вм, методы скрытия ее и так далее.
Да и сам понимаешь что если ты пишешь на яп создаными окнами, то 100% есть бекдор, заначка, утечка (как обычно у всех крупных корпораций) для того чтобы например проще было реверсить (это просто пример).
Сам принцип написания малвари на шарпе ничем не ограничивает кроме самое платформы .net, но натив это верное решение.
Если ты не параноик и не надо тебе работать на более низком уровне типа копирования кода функции в памяти обработка ее с помощью симметр хэширования и исполнение после кучи делений на разные сегменты, то твой выбор шарп.
Если ты не хочешь создавать "велосипед" а использовать готовые простые алгоритмы, то шарп.
Си плюсы если ты серьезно настроен заниматься например исследованием протекции от ав, язык гибок ты можешь пейлоуды пихать куда угодно в системе и делать с ним что хочешь)
Я не говорю про работу с инетом вообще, там серьезно очень много методов и без curl вашего)
Да и если так посмотреть то почему-то код с Winapi функциями гораздо больше раздут с шарпами чем с привычными C/C++