Чито по логике, поставить бряк на функцию декрипта с любым алго и вытащить образ можно. Но про автоматическую расшифровку XOR - звучит бредово.Tobikun,
Посмотреть вложение 9908
12 декабря 2019. Последнее сообщение в ответе. Тоже нативщик.
И кстати, зайди в свою ветку по той ссылке и проверь, что отписал тамошний админ)
Посмотреть вложение 9913На заметку - Реакция антивирусов на VirtualAlloc с флагом PAGE_EXECUTE_READWRITE
Интересно стало, как-же будут реагировать антивирусы на вызов VirtualAlloc с флагом PAGE_EXECUTE_READWRITE (Флаг на исполнение). Думал будет елочка на dyncheck.com, а-нет результаты весьма неплохие.))) Странно конечно, ведь выделять память на исполнение, уже потенциально опасно, можно...ru-sfera.org
хддд
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Малварь на c# | В 2020 можно ?
- Автор темы DeiTy
- Дата начала
Если уж пошла речь о шифровании в памяти, то я экзешник в зашифрованном виде с сервера скачиваю на локальный компьютер и инжекчу его, например, в svchost.exe, но в памяти он висит уже в расшифрованном виде и антивирусы возможно отреагируют негативно на процесс. Не подскажите, чтобы его зашифровать в памяти, нужно смотреть в сторону CryptProtectionMemory из dpapi.h? Хотя, наверное, сам факт инжекта вызовет у отдельных антивирусов подозрение.
Не понимаю, в чем проблема открыть доки. Это занимает меньше времени, чем если ты задашь вопрос тут и будешь ждать ответа.
Флаги смотри
| Value | Meaning |
|---|---|
| CRYPTPROTECTMEMORY_SAME_PROCESS | Encrypt and decrypt memory in the same process. An application running in a different process will not be able to decrypt the data. |
| CRYPTPROTECTMEMORY_CROSS_PROCESS | Encrypt and decrypt memory in different processes. An application running in a different process will be able to decrypt the data. |
| CRYPTPROTECTMEMORY_SAME_LOGON | Use the same logon credentials to encrypt and decrypt memory in different processes. An application running in a different process will be able to decrypt the data. However, the process must run as the same user that encrypted the data and in the same logon session. |
Это так, но тут я еще и баллы зарабатываю, чтобы статьи читать. Я думал, может, еще какие-то способы есть. Гуглом пока не нашел ничего подходящего.
Pony был на асме, я уже не помню какой компиллер.
Чел, если ты не троллишь, то ты не имел дел с ассемблером и построением модульной малвари с непростой архитектурой совсем.
Ну вообще правильнее писать на C
Ну асм для модульной малвари точно не подойдет.Слишком "жопораздерательно"
Я не вижу смысла писать модульную малварь полностью на асме.Сейчас при правильных настройках компилятора можно результаты не хуже чистого асма получить.+Всегда есть вставки/раннее связывание.В любом случае асм не помешает.
И кстати, зайди в свою ветку по той ссылке и проверь, что отписал тамошний админ
Я сам никогда не использую xor уже давно, просто прикол в том что я код писал для изучения, а не для побуждения на использование в зверье.
Просто virt переписал под окна и все.
Умный поймет и перепишет под себя, а не просто тупо скопипастит и будет использовать)