• XSS.stack #1 – первый литературный журнал от юзеров форума

Объясните особенность LoadPE?

Отслеживать
McCoder

McCoder

RAID-массив
Забанен
Регистрация
23.06.2021
Сообщения
62
Реакции
-1
Пожалуйста, обратите внимание, что пользователь заблокирован
Ранпе понятно, интересует 2й метод, замечаю многие криптеры с соседних бордов начали активно юзать, мол меньше детектится в рантайме и отстук лучше.

небольшое отступление:
для себя нашёл утилитку donut, которая бинарники преобразует в шел код. Дальше написал простой shellcode executor+ декриптор+ декомпрессер byte[]. Как по мне это прикольно и круто.

На соседнем борде вижу листенинг на асм, и такое ощущение что запуск через shellcode - это и есть так называемый LoadPE. Объясните если чет не то сказал. Как LoadPE работает?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
McCoder сказал(а):
для себя нашёл утилитку donut
https://xss.pro/threads/55346/ - статья о том, как шеллкод из этой утилиты работает под капотом, может пригодиться.

McCoder сказал(а):
Как LoadPE работает?
Вопрос не понятен, так же, как и RunPE, но загружает нагрузку в текущий процесс, а не в новый. По сути выполняешь шелл из доната в своем процессе.
 
Ты сделал loadpe на этапе преобразования бинарника в шелкод. На данном этапе шелкод donut просто настраивает в памяти твой бинарник, то есть обрабатывает твои импорты и настраивает релоки.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DildoFagins сказал(а):
https://xss.pro/threads/55346/ - статья о том, как шеллкод из этой утилиты работает под капотом, может пригодиться.


Вопрос не понятен, так же, как и RunPE, но загружает нагрузку в текущий процесс, а не в новый. По сути выполняешь шелл из доната в своем процессе.
а спасибки. Помню ещё с помощью шелкодов клиппер инжектил под explorer, норм тема.
 
Последнее редактирование:
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх