Собственно, суть в заголовке треда. Подскажите максимально агрессивные методы закрепления, очень усложняющие деинсталляцию. Есть возможность плясать из под системных процессов. Никаких драйверов с минифильтрами и подобного, сугубо юзермод. Можно в ПМ. Спасибо.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Агрессивные методы закрепления в системе.
- Автор темы nullptr
- Дата начала
Так сходу фиг знает, я бы смотрел в сторону дллок, разные shell extensions и подобное. AppCert Dlls можно, инжектить в новые процессы (и оттуда смотреть, не удаляет ли юзер ключи и файлы) и заодно не давая загрузится некоторому аверскому говну.
+ классика, планировщик задач и 2 процесса, контролирующие реестр (куда прописаны) и друг друга.
+ классика, планировщик задач и 2 процесса, контролирующие реестр (куда прописаны) и друг друга.
- Автор темы
- Добавить закладку
- #3
Скрытый контент для пользователей: .
Миссконфиг, смотри процессы которые запущенны Может что-то работает такое как VS или ещё чего нибудь . очень обширная тебя
- Автор темы
- Добавить закладку
- #5
О чём ты?
Видимо, он предлагает цепляться не к ОС, а к установленному софту, псевдоплагин для Visual Studio или Office, будет запущена студия, будет и твой софт заодно...
- Автор темы
- Добавить закладку
- #7
Это можно, как вариант, но уже под точечные темы. У меня софт немного другой направленности.
сарян. Я суть вопроса не догнал. осознал свою тупость и ничтожность.
- Автор темы
- Добавить закладку
- #9
Кстати, была такая малварь под Delphi 7, она модифицировала .pas файлы и в итоге все файлы компилировались с ее кодом. Как вариант, можно такую вещь запилить под VS и другие IDE, но сугубо под точечные темы.
В современном мире есть CI (Continuous Integration), мало кто сейчас собирает софт у себя на компе.
Даже тут, наверняка, у половины форума Gitlab стоит и билд-машины.
- Автор темы
- Добавить закладку
- #12
Cуть в прыжке на другие компы через инфицированные файлы ( собранные зараженной IDE ). Софт ведь по любому пойдет в продакшен.
Сейчас процесс разработки выглядит не так, как 10 лет назад.
Сейчас у себя на компе собирают дебаг проект и эти файлы никуда не идут.
Написал, проверил, залил сорцы на Гит сервак.
Дальше Гит сервак САМ компилит проект, тестирует его и шлет репорт об успешной/неуспешной сборке.
И именно эти файлы идут в прод.
К тому же сейчас код-ревью проводят даже стартапы из 3 человек.
И смотрят код они на Гит серваке, а не через IDE.
Я не к тому, что идея не будет работать, а к тому, что далеко не уедет...
Сейчас у себя на компе собирают дебаг проект и эти файлы никуда не идут.
Написал, проверил, залил сорцы на Гит сервак.
Дальше Гит сервак САМ компилит проект, тестирует его и шлет репорт об успешной/неуспешной сборке.
И именно эти файлы идут в прод.
К тому же сейчас код-ревью проводят даже стартапы из 3 человек.
И смотрят код они на Гит серваке, а не через IDE.
Я не к тому, что идея не будет работать, а к тому, что далеко не уедет...
- Автор темы
- Добавить закладку
- #14
Тогда - да, идея не самая лучшая.
Из логичного - либо инжектится абсолютно во все процессы(хотя сомневаюсь что это будет эффективно в современных системах с ProtectedProcessLight + так или иначе либо кусок autorun будет лежать в соответствующей папке/ветке реестра(втч даже если делать fileless)) либо искать возможности для создания имплантов которые будут грузится из какого нибудь часто используемого процесса(браузеры,ide,etc).
Вот тут неплохой сборник вариантов и связанной информации по методам закрепления в системе:
ired.team
Вот тут неплохой сборник вариантов и связанной информации по методам закрепления в системе:
Persistence
ired.team
Последнее редактирование: