Статья Как правильно изучать malware-кодинг под Windows

[Quake3]

это старое мышление что нужно знать си. у вас должно быть четкое понимания что такое винда и как она устроена. а писать можете на чем угодно.

Я и не настаиваю именно на Си, любой нативный компилируемый ЯП - масм, фасм, насм, паскаль, фрибейсик,пуребейсик (если в нем можно отключить стандартную либу). Почему - писал в первом посте, повторяться не буду. Люди, которые не знают натива , это говнокодеры , которые могут закодить максимум какой-то стиллер или лохер.
А Си нужно понимать потому, что мсдн , в котором написано "что такое винда" , увы, основан на Сишных примерах.

 

[w00du]

FASM с его макросами одааа.. это вообще как си только проще

 

[moneyisnotonlybus]

которые могут закодить максимум какой-то стиллер или лохер.

Никогда не понимал такого отвращения к локерам, чем отличается хорошо написанный локер от любой другой малвари? С использованием ki, хорошей логикой тредпулов, организацией работы с ntfs и fat как с различными сущностями и тд.

 

[w00du]

Никогда не понимал такого отвращения к локерам, чем отличается хорошо написанный локер от любой другой малвари? С использованием ki, хорошей логикой тредпулов, организацией работы с ntfs и fat как с различными сущностями и тд.

суть в достаточно маленьком пороге вхождения чем скажем для hvnc, banking malware, rootkit/bootkit-ов и прочих ВПО. Локер оффлайновый пишется на 60% быстрее и более удобен в поддержке как кода так и инфраструктуры в целом

 

[w00du]

это старое мышление что нужно знать си. у вас должно быть четкое понимания что такое винда и как она устроена. а писать можете на чем угодно. должна быть четкая цель, как вы попадаете на комп и как будет жить ваш софт. ну и функции софта. с винапи вы можете работать где угодно. в скриптах тоже. а так же важно понимать как общается клиент с сервером.

вообще, к примеру snake/ekans (иранцы), который работает по таргетам АСУ-ТП код на go или бот делает сетку p2p и отлично размножается автономно fritzfrog, читаю много отчетов, кто только какие техники/языки не применял, недавно про корейцев с их питон 2.7 бэкдором, так же скомпилирован, применялся в атаках, правда скудный функционал, сейчас некоторые тащат за собой интерпретаторы и прочее... Но опять же, все это имеет целевой характер, техники меняются и методы. Сейчас время когда можно знать ps и отлично двигаться по направления точечных заражениях и пивотинку в сетях. Настоящие тру начинают с асма потому что если ты залез в эту тему, то хочешь или нет надо изучать как другие чуваки мутят, а шобы это знать надо исследовать , а без асма тяжко и вообщем там потом если хочешь, то си подойдет да даже c# отлично применяется с некоторыми нюансами

 

[tilekvj]

FASM с его макросами одааа.. это вообще как си только проще

я вот смотрел фасм, насм, но самый залетный для меня masm32. Но хорошей книги не нашел по win32 по масму, а то под ДОС голова кружится. А так, макросы прям сочные)

суть в достаточно маленьком пороге вхождения чем скажем для hvnc, banking malware, rootkit/bootkit-ов и прочих ВПО. Локер оффлайновый пишется на 60% быстрее и более удобен в поддержке как кода так и инфраструктуры в целом

Не забывай еще эксплоиты, инжекты, перехват апи, асм вставки кода (оч помогает при трешгене), сплайсинг, длл инъекции. Да, детка, это вам не Се Шарп, это Си с асмом.

 

[tilekvj]

суть в достаточно маленьком пороге вхождения чем скажем для hvnc, banking malware, rootkit/bootkit-ов и прочих ВПО. Локер оффлайновый пишется на 60% быстрее и более удобен в поддержке как кода так и инфраструктуры в целом

ИМХО стилак намного легче пишется, а вот с лохером немного приходится попотеть, чтоб рантайм низкий был, а то вот например аваст премиум на чтение дока орет. + чтоб все сетевые шары нашел и тому подобные фишки( быстро залочил) свои нюансы тоже есть, но такое на шарпах не напишешь)))

 

[Quake3]

Никогда не понимал такого отвращения к локерам

Потому что это рак, убивающий всю малварь в целом, все методы, обходы и т.д. Это кибер гопота, которой пофиг кого и как лочить. Я не моралист, в плане мне пофиг на больницы или школы, но просто это перебор, обычный софт там отработал, украл не украл, это уже такое дело, а тут тупо, как на улице - давай бабки, а нет бабок, так сиди без файлов. Засрали уже все своими локерами, все загрузки, биржи, дедики, пздц какой-то.

И да, я уже не раз говорил, закодить лохер офигенно просто, тут не надо знать какие-то матчасти особые. Многие понтуются "у меня IOCP", "а у меня большие файлы лочит". И что? Это стандартные блин возможности , прочитал книжку Рихтера и есть тебе и тредпул, и потоки, и большие файлы. Понятно, что для школьника и это архисложно, но на деле нет. Это хвнц или банкер закодить, вот там да, надо думать, реверсить, исследовать. А тут взял книжку, потом пришел на форум и понеслась "илитные технологии!". Причем 99% даже нормально кодить не умеют, я раньше проверял локеры, потом забил, т.к. там такое позорище код, что слов нет, кроме непечатных. Один хрен (очень популярная ПП, но называть не буду), говорил мне что "не работает на вм, потому что там удалено РСА", второй не знал про strcmpI.

я вот смотрел фасм, насм, но самый залетный для меня masm32. Но хорошей книги не нашел по win32 по масму, а то под ДОС голова кружится. А так, макросы прям сочные)

Посмотри автора Кип Ирвин , у него хорошая книга по масм. 4ое издание есть на русском, 7ое на инглише. А вообще, тут тоже можно холивар развести. Я сам пишу на Масм, но в Фасме есть много плюсов, и макросы там круче масмовских.

 

[tilekvj]

Потому что это рак, убивающий всю малварь в целом, все методы, обходы и т.д. Это кибер гопота, которой пофиг кого и как лочить. Я не моралист, в плане мне пофиг на больницы или школы, но просто это перебор, обычный софт там отработал, украл не украл, это уже такое дело, а тут тупо, как на улице - давай бабки, а нет бабок, так сиди без файлов. Засрали уже все своими локерами, все загрузки, биржи, дедики, пздц какой-то.

И да, я уже не раз говорил, закодить лохер офигенно просто, тут не надо знать какие-то матчасти особые. Многие понтуются "у меня IOCP", "а у меня большие файлы лочит". И что? Это стандартные блин возможности , прочитал книжку Рихтера и есть тебе и тредпул, и потоки, и большие файлы. Понятно, что для школьника и это архисложно, но на деле нет. Это хвнц или банкер закодить, вот там да, надо думать, реверсить, исследовать. А тут взял книжку, потом пришел на форум и понеслась "илитные технологии!". Причем 99% даже нормально кодить не умеют, я раньше проверял локеры, потом забил, т.к. там такое позорище код, что слов нет, кроме непечатных. Один хрен (очень популярная ПП, но называть не буду), говорил мне что "не работает на вм, потому что там удалено РСА", второй не знал про strcmpI.


Посмотри автора Кип Ирвин , у него хорошая книга по масм. 4ое издание есть на русском, 7ое на инглише. А вообще, тут тоже можно холивар развести. Я сам пишу на Масм, но в Фасме есть много плюсов, и макросы там круче масмовских.

Базаришь Квейк. Недавно с сетевиком общался, говорит, что малые и средние бизнесы или стартапы после лока перестают работать, люди теряют работу, компания -банкротиться. Из-за этого нацелены на большие компании. Вообще да, должны быть какие-то границы. Но ща компании умнее становятся, делают ежедневные бекапы и т.п. Была такая история, что после доступа к сетке компании там расшарили все компы, но последний главный - админский не смогли залочить (а там был весь бекап). Как думаешь, что случилось? Компашка винду переустановила и начала работать восстановив бекап из главного пк.

Как по мне, норм вариант - это после получения рдп стилаком получить данные, после кейлогер (мб там есть дб какая-то), уставноить HVNC и важные файлы формграббером на сервак закачать (формграббер не простой, что всё в архив херачит). После там шантаж и т.п. В этом случае прибыль будет в любом случае.

Формграббер сделать таким, чтоб большие файлы чанками читали, запаковывали в архив на сервак по tcp порту зашифрованно отправляли, а на сервер в свою очередь сохраняет данные и введет лог на каком поинет файл. Т.е. если инет прервется, то формграббер обратившись серверу получить последний поинт, уставноит сетпоинт на файл и начнет читать. ИМХО на чтение файла никто так не агриться. А как вариант, можно лодырем закачать и развернуть ВМ и полюбас уже доступы будут к файлам. И не только файлы, также стилак отработал. В итоге - получаем корп почты, др данные, файлы, БД. А если там двухфакторка, то с HVNC можно пошаманить. Как вариант еще ратник, который пш команды выполняет

Спасибо за книги, почитаю, посмотрю. Хотя раз ты так хвалишь, то фасм еще раз гляну.

 

[moneyisnotonlybus]

Не забывай еще эксплоиты, инжекты, перехват апи, асм вставки кода (оч помогает при трешгене), сплайсинг, длл инъекции. Да, детка, это вам не Се Шарп, это Си с асмом.

Эксплоиты, инжекты, хуки, трешген, виртуальные, разве это все использует только супер илитьный софт ? Собрать локер на коленке из findfirst/next и прикрутить внешнее шифрование понятное дело легко. Но я говорю про более глубое вхождение в тему. Парсинг usn, прямое чтение fat32, антихуки ав, сканы адаптеров, int2e и тд. Что в банкинге, что в локерах есть свои фишки которые надо уметь использовать. Да и iocp не панацея. Есть у тебя 2 диска, один быстрый, другой медленный, на медленном файл в тер лежит. Так этот файл забьет всю очередь пула и будет писать в 30мб\с, пока другой диск простаивает, вот тебе и iocp.
А насчет того что рак, согласен только частично. Если локер смог попасть, то и другие могли. Так что пусть лучше зашифруют все данные к черту, чем сольют куда либо

 

[SamGold]

Я тоже не люблю локеры, но по гуманистическим соображениям. Я бы предпочитал, чтобы софт незаметно приносил профит, не причиняя материальных и моральных страданий донору.

 

[Pernat1y]

Я тоже не люблю локеры, но по гуманистическим соображениям. Я бы предпочитал, чтобы софт незаметно приносил профит, не причиняя материальных и моральных страданий донору.

Прокси, майнеры, спам, реклама, фастфлюкс. Вариантов много.

 

[Quake3]

Недавно с сетевиком общался, говорит, что малые и средние бизнесы или стартапы после лока перестают работать, люди теряют работу

Да это еще полбеды, а беда в том, что обычных людей зачем-то лочат. Миллионы загрузок идут обычным терпилам, у которых кроме фоточек или курсовой ничего и нет. Или все подряд дедики шифруют. Ну смысл то в этом?

Спасибо за книги, почитаю, посмотрю. Хотя раз ты так хвалишь, то фасм еще раз гляну.

В фасме более мощный макроязык, нет многих устаревших нюансов масма. Из минусов - масм все же более популярен, можно инклудить в студийный проект (мб и фасм можно, хз). Короче, посмотри, что больше нравится и зачем оно вообще.

Но я говорю про более глубое вхождение в тему. Парсинг usn, прямое чтение fat32, антихуки ав, сканы адаптеров, int2e и тд. Что в банкинге, что в локерах есть свои фишки которые надо уметь использовать.

Ну в теории да, а на практике - где ты это все видел?) назови хоть 1 локер. Вот я их пересмотрел сотни, реально - все топовые тут , на эксплойте, и еще с ав трекеров. Нигде не видел ни сисколов, ни даже мфт, ни каких-то зиродей обходов. Есть просто хорошо написанный софт (единицы), и говно (95%).

 

[Whisper]

Дарю сразу чит-шит по АРМ-у
Посмотреть вложение 13032

Илюстрация хорошая, вот только нахрен такое палево в личной документации. Пропечатать все пикчи xss.pro мягко говоря так себе решение. Вот прямо из разряда пользы на копейку а возможных проблем на рубль.

 

[Grotendique]

Короче, сколько языков программирования, столько и мнений. От более опытных коллег тоже слышал, что для полноценного развитися в секюрити надо изучать С. Если хочешь научится чему-то большему, нежели сканирование портов с помощью nmap.

 

[loki88]

Автору большое спасибо!
Пытался найти на других форумах информацию по данному вопросу, понял что копипаст мне не интересен.
Теперь хотя бы понимаю с чего нужно начинать и куда двигаться, благодарю.

 

[shkolnick1337]

Никогда не понимал такого отвращения к локерам, чем отличается хорошо написанный локер от любой другой малвари? С использованием ki, хорошей логикой тредпулов, организацией работы с ntfs и fat как с различными сущностями и тд.

в первую очередь отличается с филосовской точки зрения - ты не копируешь информацию, а уничтожаешь её. во вторых локер гораздо проще чем стиллер или ратник, да или любая другая вирусня. думать нужно меньше, задач меньше, не нужно закряпляться, нет творчества, нет полета фантазии.

 

[Coredweller]

Я и не настаиваю именно на Си, любой нативный компилируемый ЯП - масм, фасм, насм, паскаль, фрибейсик,пуребейсик (если в нем можно отключить стандартную либу). Почему - писал в первом посте, повторяться не буду. Люди, которые не знают натива , это говнокодеры , которые могут закодить максимум какой-то стиллер или лохер.
А Си нужно понимать потому, что мсдн , в котором написано "что такое винда" , увы, основан на Сишных примерах.

Не соглашусь с тем что люди не знающие нативного языка говно - кодеры
По моему мнению говно - кодеры те, кто не может свой код грамотно расположить, иногда не понятно какая функция выполняется вначале, а вторая потом вот это говно код . Хотя спорить не буду, возможно вам такие и не попадались .

 

[Coredweller]

Просто мне приходилось сталкиваться с таким «овном» что не разобрать, когда и какая функция за что отвечает. Причём все функции написаны на транслите

 

[shkolnick1337]

давайте ревесним шеллкод кобальта, потом напишем свой шеллкод, но с совершенно другими сигнатурами по рантайму. задача

Не соглашусь с тем что люди не знающие нативного языка говно - кодеры
По моему мнению говно - кодеры те, кто не может свой код грамотно расположить, иногда не понятно какая функция выполняется вначале, а вторая потом вот это говно код . Хотя спорить не буду, возможно вам такие и не попадались .

я знаю уже что ты пишешь на питоне, я считаю говнокодерами на питоне тех людей которые не следуют pep8. в утверждение данного человека я могу сказать следующее (из опыта vx) - с полной оценкой языков и методов из своего опыта - не важно на каком языке ты пишешь вирус - главное то как ты понимаешь строение платформы под которую ты пишешь, нужно понимать как она работает, нужно понимать какие функции ты вызываешь, нужно понимать как эти функции работают, нужно разбираться буквально в мелочах, нужно разбираться в системных вызовах. да по итогу с точки зрения си кодера - все остальные малварьщики это говнокодеры. он буквально прав.