• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья FilelessPELoader

Отслеживать
Zodiac

Zodiac

RAM
Пользователь
Регистрация
04.11.2022
Сообщения
108
Реакции
40
1. Это PE-лоадер с ремапом, а можно было грузить в свою память
2. getNtdll - оригинал ntdll для снятия сплайсов нужно брать с диска и маппить, т.к. в памяти других процессов она наверняка тоже будет пропатчена.
3. Работа с сетью через Winhttp - большое палево
 
abruptum сказал(а):
win11 WD палит
а вообще есть метод выполнить условный mimikatz в win11? или динамический чек все равно спалит.
Конечно все возможно и не только с WD.
 
Тут до загрузчика как до китая. Повторять виндовый загрузчик дело неблагодарное, Инди. Как правило нужно чтобы софт работал (запускался). Имхо народу нужен результат с профитом, а не какие то абстрактные изыскания, которые в итоге дальше теории или не рабочему/устаревшему коду никуда не приводят.
 
Stupor сказал(а):
Тут до загрузчика как до китая. Повторять виндовый загрузчик дело неблагодарное, Инди. Как правило нужно чтобы софт работал (запускался). Имхо народу нужен результат с профитом, а не какие то абстрактные изыскания, которые в итоге дальше теории или не рабочему/устаревшему коду никуда не приводят.
Итак, как правильно это сделать
 
Stupor сказал(а):
1. Это PE-лоадер с ремапом, а можно было грузить в свою память
2. getNtdll - оригинал ntdll для снятия сплайсов нужно брать с диска и маппить, т.к. в памяти других процессов она наверняка тоже будет пропатчена.
3. Работа с сетью через Winhttp - большое палево
2. не обязательно с диска, что бы не дергать лишний раз минифильтры можно из суспенд процесса, там вроде как чиста ntdll, не успевают ее похукать
 
br0 сказал(а):
...Let’s check if NtCteateThreadEx was hooked this time. No it wasn’t! This is simply because the EDR’s DLL was not loaded when in suspended process, which produced a clean copy of ntdll without any hooks. ...
чушь и ложь, чел походу в начале двухтысячных.. какие нах длл внедрять? АВ сейчас всё драйверами делает.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Stupor сказал(а):
чушь и ложь, чел походу в начале двухтысячных.. какие нах длл внедрять? АВ сейчас всё драйверами делает
Ну на самом деле достаточно много аверов инжектят дллки и хукают функции, я согласен, что это такая себе "защита". Я делал специальную тулзу для анализа хуков, можно ее прогнать и посмотреть, что именно конкретный авер перехватывает: https://xss.pro/threads/43097/ - меня в то время позабавило, что, например, доктор веб вместо классического джампа на обработчик ставил mov eax, <номер> + джамп на один и тот же адрес, то есть у них был один универсальный обработчик хука, который разруливал обработку через константу в eax.
 
Stupor сказал(а):
чушь и ложь, чел походу в начале двухтысячных.. какие нах длл внедрять? АВ сейчас всё драйверами делает.
Stupor сказал(а):
Нет там никакой чистки ntdll
изначально вопрос был в чистой ntdll, иии.. она там есть! ETW вместе с внедрением длл использовать никто не мешает, и тоже снятие хуков к примеру детектить через ETW
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх