Такая проблема: стиллер копирует файлы хрома для будущей дешифрации и в этот момент получаю детект, перепробовал ВСЕ и копирование через вызов нового процесса, и через OLE или через FS и Винапи, ПОДСКАЖИТЕ КУДА КОПАТЬ?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Детект Avast на копирование Хрома
- Автор темы merdock
- Дата начала
Скрытый контент для пользователей: merdock.
А через теневую копию не пробовал? Так же посмотри варианты через COM объекты js и т.д. Аверы не очень справляются с этим кстати.
Инжект в хром пробовал?
инжекты в процесс хрома палятся авастом
Скорее всего хукает копирование в юзермоде на путь хрома и файла. Попробуй через рекурсию найти файл и скопировать.
Интересно, аваст в ядре тоже хучит?
Интересно, аваст в ядре тоже хучит?
слишком "громко" в рантайме будет
У вас должно быть более 200 реакций для просмотра скрытого контента.
Ну тут на форуме был метод через тот же хром скопировать свой же файл. По-моему запуск хром с аргументами на файл Login Data, он скачает и сохранит в загрзуки.
- Автор темы
- Добавить закладку
- #7
Вот это и осталось, НО Блин ради копирования инжектиться - это как то жирно
У вас должно быть более 200 реакций для просмотра скрытого контента.
chrome.exe "C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Login Data"
вот так оно скачивает, так же надо скрыть окошко хрома. Чекай папку загрузки
p.s. можно без SW_HIDE или как там нативщики делают. Есть в аргументах хрома запустить без окошка
вот так оно скачивает, так же надо скрыть окошко хрома. Чекай папку загрузки
p.s. можно без SW_HIDE или как там нативщики делают. Есть в аргументах хрома запустить без окошка
- Автор темы
- Добавить закладку
- #9
можешь кинуть пример если не сложно по теневому копировани код или на git с примером линк подкинуть, через js и ком попробую, но что то кажется тоже не проканает.
под хайдом закинул норм метод без мозгоебства. А так смотри в сторону vssadmin если теневой нужен. Но как помню он чуть геморный.
Теневое копирование геморно тем, что требует прав админа. Это раз. Второе - делать это надо только через cmd /c , т.к. чистый СОМ VSS - уж поверьте, адский ад, особенно х32 бот и х64 система. Там ошибка есть в самой винде.
У меня не палятся, транзитом через explorer (алгоритм Propagate или через Shell_TrayWnd), далее из explorer уже удаленный поток можно создать.
*Тут была дохера элитная техника выложена, но WhiteDragon попросил удалить, я хз почему, говорит приваты, но я о ней знаю уже овердавно лет*
Последнее редактирование:
Это который ИндиКлерк ресерчил еще?
Да, тот самый с virustech'а года этак 2013ого, который он потом в PowerLoader продал и на очко подсел из-за аверов и ментов. Но мне пришлось самому под x64 допилить. До сих пор работает и мало кем палится.
можно ссылочку? Искал как раз инжекты.
Теперь редактируй свой коммент, элитная техника осталась в цитате))
Propagate: https://github.com/odzhan/injection/tree/master/propagate
Shell_TrayWnd свой код выложить не могу по понятным причинам, нагуглить сейчас тоже тяжеловато, попробуй поискать по ключевым словам PowerLoader, inject и Shell_TrayWnd.
PowerLoader Injection - Something truly amazing - MalwareTech
I’m not dead It has been a while since i wrote an article (I’ve been pretty busy in real life), so I decided to get
www.malwaretech.com
з.ы. а их автор поехал крышей
https://xss.pro/threads/23873/
https://xss.pro/threads/23875/
https://xss.pro/threads/24346/
А кто из нас сейчас полностью в своем уме? Да никто...