• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Криптор исполняемых файлов. Эволюция.

Какой криптор вы используете?

  • Другие смогут видеть, как Вы проголосовали.
Результаты
Отслеживать
Kernel32dll сказал(а):
А ещё, чтоб криптовать дотнет-сборки нужен дотнет-криптер? Смогу ли я заинжектить нативным стабом дотнет сборку(к примеру - стиллер)?
Тоже искал решение этого прикола с ранПе. Там надо импорты нетовские востонавливать. Пока руки дошли только до инжекта. Из под дотнета естественно всё робит.
РанПе не лучшее в 2к23, но если простые ав обойти, то ок. Импорты скрой и кайфуй
 
Kernel32dll сказал(а):
Ну в приоритете создать файл с 0/26. Думаешь обычного ранПЕ хватит?
трудно сказать. Если условно стилак самопис, сбор лога фул в памяти и тд. То обойдет конечно. Если какой-то кал - нет. Проливать надо и смотреть. Ну дефендер, битдефендер, и еще что-то ранпе обходит, главное импорты всяких writeprocessmem поскрывать. Лучше всех функций
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Alexey18 сказал(а):
трудно сказать. Если условно стилак самопис, сбор лога фул в памяти и тд. То обойдет конечно. Если какой-то кал - нет. Проливать надо и смотреть. Ну дефендер, битдефендер, и еще что-то ранпе обходит, главное импорты всяких writeprocessmem поскрывать. Лучше всех функций
Принял. Спасибо за информацию. Только один вопрос для меня до сих пор остается открытым, смогу ли я закриптовать .NET-стилер(к примеру) нативным криптером и исполнить его нативным стабом?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Kernel32dll сказал(а):
смогу ли я закриптовать .NET-стилер(к примеру) нативным криптером и исполнить его нативным стабом?
Это можно сделать, как и инжект в недотнетовские процессы, пример реализации есть донате, я описывал его раньше здесь: https://xss.pro/threads/55346/ (если кратко, то для инжекта нужно будет шелл сделать, который дотнет рантайм прогрузит и выполнит Assembly.Load или аналоги, также следует учесть, что с дотнетов 4.8 динамическая загрузка сборок подвержена AMSI).
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Kernel32dll сказал(а):
А, насколько длинным будет шелл дотнет-стилера весом 100 кб? А если больше? И сможет ли вообще компилятор скомпилировать стаб с таким шеллом внутри? Или тут его уже разбивать надо будет?
Шелл может быть любого размера, сколько в линейный блок виртуальной памяти влезет, пару гигабайт хватит тебе?)
 
Kernel32dll сказал(а):
Возможно я что-то путаю, просто был момент когда я пытался скомпилировать cpp файл с длиннющим шеллом внутри, и компилятор выдал ошибку(якобы, слишком длинная строка). В любом случае спасибо, Дилдо! Ранее я видел упоминания пончика в статьях и блогах различных киберсеков, да я и статью твою уже читал, но значения не придавал. Рассмотрю его поподробнее.
Я кидал методику через ресурсы как работать с бинарями в нативе. Подключаешь какое нибудь рс4/хор = фуд. посмотри в разделе C++, либо через hex редактор своё добро в хердеры добавляй и потом юзай но там генки будут.
 
Kernel32dll сказал(а):
А, насколько длинным будет шелл дотнет-стилера весом 100 кб? А если больше? И сможет ли вообще компилятор скомпилировать стаб с таким шеллом внутри? Или тут его уже разбивать надо будет?
Для шарпа вес большой. Самопис? я около года назад делал под себя, 69кб уместилось. Динамически нахуй все браузеры и крипторасширения надо дрочить рекурсией.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх