Вкат в С, С+

[Quake3]

а на стандарты и какие то там коммитеты нам вообще насрать

Именно так.
А разве нет? Если мы берем малварь, то некоторые сообщения пишут люди, либо далекие от темы, либо сознательно включающие дурака. Потому как заказчику (пользователю вашей малвари) абсолютно пофиг на лямбды и прочую ерунду. Вот пример - почему за приватный лоадер дают 10-15-20к баксов? По факту, скачать-запустить софт с инета может любой программист даже на петоне, после 2 месяцев обучения. Откуда тогда такие суммы - понятно откуда, ценятся обходы аверов, закрепы в системе, безпалевность и так далее. А тут, по моему скромному мнению, нужно как раз таки знание лоу левела. Если мы говорим о белой работе, то понятное дело, что там всем до пизды техники вида "20 способов найти базу кернела в памяти", там ценится другое, и там да, наверное перспективней учить петоны последних версий. Так что диалог ни о чем. Хотите кодить малварь - изучайте Си, хотите в белый ентырпрайз - петон, плюсы, расты и прочие модные вещи.

 

[Whisper]

И совершенно внезапно, когда грузишь шарпы из памяти в память создается RW регион. Только никому не говори, это - секрет.

В случае с малварой наш интерпретатор должен собираться нами самими — например что бы собрать его в память или модуль где у нас скажем есть 30 мест под размещение выполнимого кода размером от 32 до 256 байт(мы должны его в эти участки вкомпилить), он должен быть маленький еще и для того что бы морфился до не узнаваемости(убогим не понять что с кода 100кб + можно надёргать штук 30 масок и никакая обфускация(которая тоже маскируется) не спасёт), он должен выполнять совсем немного примитивных команд и совсем не должен использовать апи сам по себе(он наш примитивный процессор и не более), а раз так то мы его может воткнуть хоть в ядро, да вообще хоть куда. Сама вм дата без проблем шифруется и размывается до любой нужной энтропии.
Как это выглядит на практике — VS c++ /FAs, конверсия в вм код. Есть ли у меня какой то опыт в этом или я все навыдумывал, ну чисто позлить умников которые размахивают руками фантанируя слюной про мегамалвары, скрепы, винапи, сисколлы и прочее..., оставим это за кадром =)

 

[Quake3]

Кто-то выше писал, что Си проще питона. лень искать кто, просто вопрос - взять банально сокет клиент-сервер (без высокоуровневых модулей, просто socket ). На чем написать проще и что легче усвоить человеку? Вопрос как бы риторический. Си не может быть проще говноскриптов, хотя бы потому, что в Си нужно думать о памяти.

 

[distamx]

Кто-то выше писал, что Си проще питона. лень искать кто, просто вопрос - взять банально сокет клиент-сервер (без высокоуровневых модулей, просто socket ). На чем написать проще и что легче усвоить человеку? Вопрос как бы риторический. Си не может быть проще говноскриптов, хотя бы потому, что в Си нужно думать о памяти.

Прочитай почему именно https://xss.pro/threads/70526/post-498065. По моему мнению все таки намного легче малварь на СИ написать чем на питоне. Вопрос качества.

 

[DildoFagins]

В случае с малварой наш интерпретатор должен собираться нами самими

Да, действительно, зачем же нам использовать интерпретатор, предустановленный в систему, на который при скане памяти авер не сможет поставить сигнатуру.

А тут, по моему скромному мнению, нужно как раз таки знание лоу левела.

Знание лоулевела и знание хороших практик программирования, ооп, паттернов или хороших в сравнении с Сишечкой и Плюсами языков программирования не являются взаимоисключающими.

 

[Fluttercode]

Кто-то выше писал, что Си проще питона. лень искать кто, просто вопрос - взять банально сокет клиент-сервер (без высокоуровневых модулей, просто socket ). На чем написать проще и что легче усвоить человеку? Вопрос как бы риторический. Си не может быть проще говноскриптов, хотя бы потому, что в Си нужно думать о памяти.

А что ты думаешь о D? Если использовать с винапи, то плюс это то что ооп есть и вес маленький получается. К примеру я не хочу каждый раз получать хендл консоли чтобы писать в нее. Я могу один раз получить её и положить в член класса, а потом каждый раз вызывать её откуда захочу. Ну разве не круто?

 

[distamx]

А что ты думаешь о D? Если использовать с винапи, то плюс это то что ооп есть и вес маленький получается. К примеру я не хочу каждый раз получать хендл консоли чтобы писать в нее. Я могу один раз получить её и положить в член класса, а потом каждый раз вызывать её откуда захочу. Ну разве не круто?

При использовании -betterC сразу орут ав. Придумай как обойти, мне интересно как это сделать. Насчет веса не уверен, сколько у тебя обычный MessageBox с флагом весит без WinMain?

 

[Fluttercode]

470 кб. Выходной exe выходит на D. Обычное клиент-серверное взаимодействие на сокетах. Это при том что я не использовал флаг -betterC и у тебя в кармане возможность ооп, + исключения. Мне нравится.

 

[distamx]

470 кб. Выходной exe выходит на D. Обычное клиент-серверное взаимодействие на сокетах. Это при том что я не использовал флаг -betterC и у тебя в кармане возможность ооп, + исключения. Мне нравится.

Понятно что в кармане. А вот как обойти, то что аверы навешали из-за непопулярности языка, вопрос. Видел вес у шкафчика на D 32мб и как реагировали на это тамошние форумчане.

 

[Fluttercode]

Видел вес у шкафчика на D 32мб и как реагировали на это тамошние форумчане.

А каким образом у этого шкафчика вес 32 мб? Он там че накуролесил? Это действительно смешно.

А вот как обойти, то что аверы навешали из-за непопулярности языка, вопрос.

Мне самому интересно стало.

 

[Whisper]

Да, действительно, зачем же нам использовать интерпретатор, предустановленный в систему, на который при скане памяти авер не сможет поставить сигнатуру.


Знание лоулевела и знание хороших практик программирования, ооп, паттернов или хороших в сравнении с Сишечкой и Плюсами языков программирования не являются взаимоисключающими.

А я ведь написал для чего именно. Я не понимаю в шарпах но вопрос - я точно могу шарп вм код без проблем исполнить в ядре на 2003 или ХР сп0?, а не в ядре а сакажем в services.exe? я точно могу шарповским интерпретатором инфицировать модуль где я в кодовой сецкции нашел килобайтик свободного места разамазанного по всему .text? Я вот немало всякого пропустил мимо потому что когда то решил что win2000 мне не интересен.

 

[Fluttercode]

Понятно что в кармане. А вот как обойти, то что аверы навешали из-за непопулярности языка, вопрос. Видел вес у шкафчика на D 32мб и как реагировали на это тамошние форумчане.

Всмысле как. Поменять заголовок PE файла видимо. Таким образом я думаю.

 

[DildoFagins]

исполнить в ядре на 2003 или ХР сп0?

Фейспалм.

а не в ядре а сакажем в services.exe?

Внутри процессов, запущенных от системы и от пользователя, вне зависимости от подсистемы (консольная, оконная или нативная), ответ - да.

я точно могу шарповским интерпретатором инфицировать модуль где я в кодовой сецкции нашел килобайтик свободного места разамазанного по всему .text?

Зависит от шелла, но, наверное, влезет в килобайт, надо mscoree подгрузить в процесс и дернуть пару COM-интерфейсов.

 

[Whisper]

Фейспалм.


Внутри процессов, запущенных от системы и от пользователя, вне зависимости от подсистемы (консольная, оконная или нативная), ответ - да.


Зависит от шелла, но, наверное, влезет в килобайт, надо mscoree подгрузить в процесс и дернуть пару COM-интерфейсов.

А можно про фейспалм подробнее? Типа на хр сп0 я все это без проблем могу иполнять и все про это знают, один я не в курсах? Под шарповским интерпретатором модифицировать модуль я подразумевал что - есть модуль где в выполнимой секции я нашел кусочки пространства небольшие, в эти кусочи я хочу разбросать интерпретатор вм кода, и завести на него колл или джамп(перехват управления), в IAT считаем что места нет вообще, датасекцию она к счастью обычно в конце я расширил и кинул туда вм код, за ней релоки им ничего страшного не сделалось. То есть я хочу юзать этот вм интерпретатор везде, при инфицировании приложений и уже запущенных процессов, охват - хр - в11, и даже на начальной статадии инита приложения когда там есть только нтдлл все должно работать. Вообще про шарп и его вм считай ничего не знаю, не думал что оно работает везде начиная с ХП и в юзере и в ядре, круть.

 

[Whisper]

А еще mscoree и пара ком нтерефейсов точно никакие ав не напрягут когда это все будет в винлогон, лсасс, сервицес?

 

[distamx]

Рел, у тебя кстати случаем на гитхабе не всратый лев стоит?

А еще mscoree и пара ком нтерефейсов точно никакие ав не напрягут когда это все будет в винлогон, лсасс, сервицес?

Да им по большому счету и на обычный запуск без инжекта срать, см. мою тему. Есет, авира срут потому что мне пока лень бинарь шифровать и точку входа не ренеймить.
POC можешь у метасплоита взять, у них есть код запуска дотнета в памяти только никому не говори, а то ауе кодер накодит натив.

 

[DildoFagins]

ядре, круть

В ядре не работает, в системный процессах работает.

Типа на хр сп0 я все это без проблем могу иполнять и все про это знают

Типа если ты хочешь белорусских электриков ломать - это единственная причина думать о том, как завести свой код на хр сп0.

А еще mscoree и пара ком нтерефейсов точно никакие ав не напрягут когда это все будет в винлогон, лсасс, сервицес?

Ничто не мешает тебе этот код удалить из памяти после того, как ты дотнет прогрузил в процесс.

Рел, у тебя кстати случаем на гитхабе не всратый лев стоит?

Нет, у меня нет гитхаба.

 

[Whisper]

Рел, у тебя кстати случаем на гитхабе не всратый лев стоит?


Да им по большому счету и на обычный запуск без инжекта срать, см. мою тему. Есет, авира срут потому что мне пока лень бинарь шифровать и точку входа не ренеймить.
POC можешь у метасплоита взять, у них есть код запуска дотнета в памяти только никому не говори, а то ауе кодер накодит натив.

Скрытое содержимое

Под ав я так же имею ввиду едр с хдр, а то вдруг они начнут что то бухтеть про lateral movement... А есет с авирой я как то и не замечаю даже, а вот сентинель моск ибет.

 

[Whisper]

В ядре не работает, в системный процессах работает.


Типа если ты хочешь белорусских электриков ломать - это единственная причина думать о том, как завести свой код на хр сп0.


Ничто не мешает тебе этот код удалить из памяти после того, как ты дотнет прогрузил в процесс.


Нет, у меня нет гитхаба.

То есть по твоему хп, 2к3, 2к это только на беларусских корпах можно встретить =)

 

[Fluttercode]

DildoFagins
Quake3
Можно я создам отдельный тред про D в "Другие языки", чтобы мы там могли все вопросы и все что связано с языком обсуждать?