Статья Криптор исполняемых файлов. РЭволюция =).

[X-Shar]

Я не видел твой вариант, покажи, можно прямо в этом топике, разберем твой.
Я почти уверен, что твоя реализация не умеет в файлы трансформеры, проверим?

Спасибо за статью...

Мердок писал статью, на факкаве по моему, или експлоите...

Там было реализация Shell_RunPe, Shell_LoadPe и Shell_DopelPE, классно кстати получилось у него...

Лучше смотреть оригинал, но вот я немного модифицировал его Shell_LoadPe:https://github.com/XShar/shell_crypor_framework/blob/master/LoadPeToShell/LoadPe.cpp

Там смысл такой, что Shell_LoadPe загоняется в шеллкод, который можно размещать либо в секции дата, либо например в картинке.

Потом загрузчик скачивает и исполняет код, вот статью тут можно почитать:https://xss.pro/threads/37420/

Но повторюсь, лучше если Мердок сам выложит оригинал, т.к. в гите модифицированная версия, я мог там криво что-то сделать, хотя на моих тестах работало всё...

У меня есть эти проекты, но выкладывать не буду, что-бы не нарушать авторство.)))

 

[evilcore]

у merdock был еще третий вариант (dopel_pe), и его семплы не умеют работать с сех.

 

[Octavian]

Спасибо за статью...

Мердок писал статью, на факкаве по моему, или експлоите...

Там было реализация Shell_RunPe, Shell_LoadPe и Shell_DopelPE, классно кстати получилось у него...

Лучше смотреть оригинал, но вот я немного модифицировал его Shell_LoadPe:https://github.com/XShar/shell_crypor_framework/blob/master/LoadPeToShell/LoadPe.cpp

Там смысл такой, что Shell_LoadPe загоняется в шеллкод, который можно размещать либо в секции дата, либо например в картинке.

Потом загрузчик скачивает и исполняет код, вот статью тут можно почитать:https://xss.pro/threads/37420/

Но повторюсь, лучше если Мердок сам выложит оригинал, т.к. в гите модифицированная версия, я мог там криво что-то сделать, хотя на моих тестах работало всё...

У меня есть эти проекты, но выкладывать не буду, что-бы не нарушать авторство.)))

Спасибо за информацию, посмотрел реализацию LoadPe по ссылке "Shell_LoadPe:https://github.com/XShar/shell_crypor_framework/blob/master/LoadPeToShell/LoadPe.cpp"

if (!PeLdrMapImage(pe)) return 12;
if (!PeLdrProcessIAT(pe->dwMapBase)) return 2;
if (!PeLdrApplyRelocations(pe))    return 3;
if (!PeLdrExecuteEP(pe)) return 4;

Там довольно ограниченный набор обработчиков: релоки, таблица импорта и сам меппинг...

у merdock был еще третий вариант (dopel_pe), и его семплы не умеют работать с сех.

Если речь идет о методе, описанном в этой статье https://www.blackhat.com/docs/eu-17...Lost-In-Transaction-Process-Doppelganging.pdf,
то я бы отнес это к разряду инжектов, что ближе к RunPE по своей сути..

 

[merdock]

Я не видел твой вариант, покажи, можно прямо в этом топике, разберем твой.
Я почти уверен, что твоя реализация не умеет в файлы трансформеры, проверим?
Пожалуйста! рад стараться)

Еле нашел,
Микс-криптер х32/х64 методика внердения: https://exploitinqx4sjro.onion/topic/137847/

 

[merdock]

Да, я не против всего, мне и статья понравилась, я шибко не внедрялся в нее. Просто интересно в чем отличия от базового ЛоадПЕ чтобы понять суть темы.

 

[merdock]

Но повторюсь, лучше если Мердок сам выложит оригинал, т.к. в гите модифицированная версия, я мог там криво что-то сделать, хотя на моих тестах работало всё...

У меня есть эти проекты, но выкладывать не буду, что-бы не нарушать авторство.)))

Не знаю, есть ли вообще смысл сюда ту статью репостить, кстати была такая же стать, но на дельфи, сейчас фиг найду ее.

 

[X-Shar]

Не знаю, есть ли вообще смысл сюда ту статью репостить, кстати была такая же стать, но на дельфи, сейчас фиг найду ее.

Если есть время/желание можно что-то новое написать, т.к. конкурс еще долго будет идти.)

 

[merdock]

Если есть время/желание можно что-то новое написать, т.к. конкурс еще долго будет идти.)

такие статьи не выигрывают - слишком много кода и букв, голосующим тяжело ?

 

[DildoFagins]

такие статьи не выигрывают - слишком много кода и букв, голосующим тяжело

Ну да, в прошлом конкурсе выиграла по сути не техническая статья без кода вообще.

 

[X-Shar]

Ну да, в прошлом конкурсе выиграла по сути не техническая статья без кода вообще.

Ага, все любят кулл-сторри.

Возможно опять под конец конкурса, врывается Медведь со своей статьёй "Ну-чо думаете я вас опять не переиграю..." и все вау, круто, 1000+ лайков и голосов.

По лоулевел тяжело, что-то такое придумать, вообще да тут такая тематика, что не все захотят вникать, не все и поймут что написано.

Тут и базу какую-то нужно иметь, как минимум хоть на начальном уровне знать что такое си, ассемблер и т.д., иначе многие статьи даже смысла нет читать.

 

[JackJ]

Возможно опять под конец конкурса, врывается Медведь со своей статьёй "Ну-чо думаете я вас опять не переиграю..." и все вау, круто, 1000+ лайков и голосов.

Он сайт отключил а в ТГ-канале написал что ушёл в спячку. Поэтому уже -1.

По поводу статьи-всё красиво и понятно.Спасибо

 

[DildoFagins]

Он сайт отключил а в ТГ-канале написал что ушёл в спячку. Поэтому уже -1.

Ну 5к нормальный повод, чтобы спячку прервать.

 

[X-Shar]

Ну 5к нормальный повод, чтобы спячку прервать.

Думаю он и без конкурсов неплохо зарабатывает.)

Печально если не будет больше статьи писать, он не лоулевел, но статьи у него прикольные, он это все разбавляет всякими интересными шутками и приколами, запоминается хорошо короче термины потом...

 

[DildoFagins]

Думаю он и без конкурсов неплохо зарабатывает.)

Ну да, надеюсь, что его уход в спячку не связан с тем, что его присуют спецслужбы. Но знаете ли 5к на дороге не валяются все равно, особенно когда можешь эти 5к получить просто за хорошо рассказанную историю из своей жизни. У меня канеш жизнь куда более приземленная, на детективные истории не тянет точно)).

 

[JackJ]

Ну да, надеюсь, что его уход в спячку не связан с тем, что его присуют спецслужбы. Но знаете ли 5к на дороге не валяются все равно, особенно когда можешь эти 5к получить просто за хорошо рассказанную историю из своей жизни. У меня канеш жизнь куда более приземленная, на детективные истории не тянет точно)).

Сначала напиши текст, потом дёрни водки+включи что-нибудь в стиле Красная Плесень и накидай шутеек в свой текст.
Получатся и шуточки и инфа.

 

[Haunt]

Сначала напиши текст, потом дёрни водки+включи что-нибудь в стиле Красная Плесень и накидай шутеек в свой текст.
Получатся и шуточки и инфа.

Теперь ясно по какой схеме ты раньше модерировал
(не в обиду)

 

[JackJ]

Теперь ясно по какой схеме ты раньше модерировал
(не в обиду)

И сейчас модерирую (но не тут)
Не будем отклоняться от темы топика.

Было бы интересно,если ТС посоветовал какие-нибудь книги-ресурсы по тематике своей статьи.

 

[Octavian]

merdock,
посмотрел твои наработки, хороший код.

Да, я не против всего, мне и статья понравилась, я шибко не внедрялся в нее. Просто интересно в чем отличия от базового ЛоадПЕ чтобы понять суть темы.

Он поддерживает x86\x64 PE файлы, как EXE так и DLL, а еще гибридные, которые одновеменно и EXE и DLL.
Умеет хэндлить ActCtx, SEH, runtime код, анпакинг с помощью aplib, восстанавливать Tls колбеки и многое другое.

А вообще лучше глянуть детальнее мой код, вопросы отпадут)

такие статьи не выигрывают - слишком много кода и букв, голосующим тяжело

Моя статья всё таки заняла второе место на прошлом конкурсе, значит всё таки глубокие технические материалы и проекты людям заходят.
Единственное что, я бы ввел критерии для статей: техническая часть (код), вводная часть (рассуждения, истории и т.д.), итоговая полезность (например: криптор можно юзать, pe loader можно использовать в своих проектах, морфер кода можно использоватя для морфа и т.д.)

Было бы интересно,если ТС посоветовал какие-нибудь книги-ресурсы по тематике своей статьи.

Основательно изучить PE формат, это занятное дело межу прочим.
Изучить механизмы такие как Tls колбеки, SEH, VEH, структуры Peb, Teb.
Прямые ссылки не дам, да и нет их. Всё есть в интернетах, гуглится, но так чтобы в едином мануале, такого не встречал.

 

[autumn]

Статья норм. Ниче не понял, но очень интересно. (C++ не изучал)
Чтоб все это приносило деньги, нужно быть на гребне волны, идти в ногу со временем не теряя актуальность и постоянно бороться с защитой АВ.
Вопрос такой. Сколько ты потратил своего времени, чтоб создать и вникнуть в работу криптора и загрузчика?

 

[Octavian]

Вопрос такой. Сколько ты потратил своего времени, чтоб создать и вникнуть в работу криптора и загрузчика?

Интересуюсь темой с 08 года. Это одна из областей моих интересов.
Всё что связано с кодо-генерацией, морфингом, эмуляцией и обходами меня сильно цепляет)