Пишу лоадер для вируса на C#. Хотел бы посмотреть другие исходники с инекцией в память их (функционал) если не сложно покидайте сурцов. ?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Loader для вируса
- Автор темы YourCodeMustDie
- Дата начала
- Автор темы
- Добавить закладку
- #3
БлагодарюПогугли какой-нибудь простенький PE Loader и перепиши под шарпы, это хороший вариант.
Также мне еще нравится метод инжекта Ghost Writing, он правда требует сложной ROP-цепочки, но все еще хорош и не очень сложен в реализации. На шарпах, к сожалению, не находил подобной реализации, но всегда можно написать под себя.
pe-loader/pe-loader.cpp at master · biesigrr/pe-loader
Loads a portable executable into a target process and handles everything that would normally be done by the Windows PE loader. Allows to use PEs from memory - pe-loader/pe-loader.cpp at master · bi...github.com
GhostWriting/gw_ng.c at master · c0de90e7/GhostWriting
GhostWriting Injection Technique. Contribute to c0de90e7/GhostWriting development by creating an account on GitHub.github.com
GitHub - plackyhacker/Shellcode-Injection-Techniques: A collection of C# shellcode injection techniques. All techniques use an AES encrypted meterpreter payload. I will be building this project up as I learn, discover or develop more techniques. Some
A collection of C# shellcode injection techniques. All techniques use an AES encrypted meterpreter payload. I will be building this project up as I learn, discover or develop more techniques. Some ...
github.com
- Автор темы
- Добавить закладку
- #5
Спасибо приму во внимание очень понравилось?GitHub - plackyhacker/Shellcode-Injection-Techniques: A collection of C# shellcode injection techniques. All techniques use an AES encrypted meterpreter payload. I will be building this project up as I learn, discover or develop more techniques. Some
A collection of C# shellcode injection techniques. All techniques use an AES encrypted meterpreter payload. I will be building this project up as I learn, discover or develop more techniques. Some ...github.com
Я предлагаю использовать прямые системные вызовы и никогда не использовать Windows api для обхода перехватчиков Userland и пытаться исправить AMSI, Etw в пользовательском пространстве.
поможет и даст вам чистый загрузчик времени выполнения
Удачи с этим
поможет и даст вам чистый загрузчик времени выполнения
Удачи с этим
Я делал разбор Donut'а, там многие вещи довольно неплохо реализованы, но да, там на Цэ всё: https://xss.pro/threads/55346/
Эх, я помню времена (да, я настолько старый), когда аверы просто хукали SSDT в ядре, и из юзермода толком это обойти не было никакой возможности (за исключением изотерических рц атак, которые работали не то, что в сферическом вакууме, а исключительно в головах у белорусских электриков)...
Кстати в ядре винды есть странные переменные и таблицы для каспера. Судя по всему, относится это дело к Kernel Shim Engine (KSE). Никто не ковырял это дело? Выглядит как легальный обход KPP для хуков.
Перезапись IA32_LSTAR не нова и от этого могут страдать все драйверы по типу WinRing0, где есть возможность слать IRP на wrmsr. А тут история какая-то мутная. Вот цепочка вызовов, где регистрируется шим для каспера. KseInitialize->KseKasperskyInitialize->KseRegisterShim. Надо будет глянуть попозже, хотя такое желательно смотреть в динамике.
P.S. Причем за перезапись MSR, если память не изменяет KPP (он же Patch Guard) агрится и ловишь BSOD, но это надо затестить.
Последнее редактирование:
Подскажите пожалуйста, это форк какого лоадера https://prnt.sc/20w2ijh
Спасибо
Спасибо