Исходный код: FASM-x64 RunPE (Process Hollowing)

Bathory · 18.12.2022

Некоторое время назад я был сумасшедшим, поэтому решил (не помню почему) закодировать все свои вещи в FASM-С самого начала меня особенно интересовали зарядные устройства и методы зарядки, поэтому я кодировал все возможные методы зарядки. Это еще один вариант исходного кода Process Hollowing, но он написан на языке ассемблера (FASM, amd64) и использует почти исключительно собственные API (ntdll.dll) и WinAPI (kernel32.dll); Я использовал возможности макросов ассемблера, чтобы сделать его более читабельным.

Я действительно не думаю, что это найдет много применения в реальной жизни-с этим слишком сложно работать, но я думаю, что в некотором смысле это интересно читать, и я хотел поделиться этим. У меня также есть коды для X86 и Process Doppelganging (x86 и x64); Я также могу опубликовать их, если они захотят.

original text:
Some time ago, I was crazy, so I decided (I can't remember why) to code all my things in FASM; from the beginning, I had been particularly interested in loaders and loading techniques, so I had been coding all the possible loading methods. This is yet another Process Hollowing variant source code, but it is made in assembly language (FASM, amd64) and using almost exclusively native APIs (ntdll.dll) and WinApi (kernel32.dll); I was using the macro capabilities of the assembler to make it more readable.

I don't really think this has many uses in real life; it's too messy to work with, but I think it's somehow interesting to read and wanted to share it. I also have codes for X86 and Process Doppelganging (x86 and x64); I can post them too if you want.

salsa20 · 18.12.2022

Bathory сказал(а):

У меня также есть коды для X86 и Process Doppelganging (x86 и x64)

Go!

Bathory · 18.12.2022

salsa20 сказал(а):

Go!

Это версия исходного кода для x86. я собираюсь опубликовать исходные коды Process-Doppenganging в другом посте

qGodless · 18.12.2022

Bathory сказал(а):

it's too messy to work with

do you have an example on C/C++?

Bathory · 18.12.2022

qGodless сказал(а):

do you have an example on C/C++?

I have, but I can't share them because I'm using them right now.

Bathory · 18.12.2022

The Process Doppelganging post was deleted, dont know why; so here is the source codes (x86 and x64)

Исходный код: FASM-x64 RunPE (Process Hollowing)

Bathory

HDD-drive

Вложения

salsa20

(L2) cache

Bathory

HDD-drive

Вложения

qGodless

(L2) cache

Bathory

HDD-drive

Bathory

HDD-drive

Вложения