Статья FilelessPELoader

CCod · 01.03.2023

Stupor сказал(а):

1. Это PE-лоадер с ремапом, а можно было грузить в свою память
2. getNtdll - оригинал ntdll для снятия сплайсов нужно брать с диска и маппить, т.к. в памяти других процессов она наверняка тоже будет пропатчена.
3. Работа с сетью через Winhttp - большое палево

почему winhttp палево? Кобальт его юзает

Stupor · 03.03.2023

CCod сказал(а):

почему winhttp палево? Кобальт его юзает

ну да, коба же ни разу не палится )

CCod · 03.03.2023

Stupor сказал(а):

ну да, коба же ни разу не палится

Коба так палиться из-за того,что это самый популярный с2. Многие другие с2 испаользуют винхттп например сливер,хавок .Так в чем же проблема этой либы?

Stupor · 03.03.2023

Напишите с ее помощью простой загрузчик файла из интернета и чекните.

Статья FilelessPELoader

CCod

(L3) cache

Stupor

system level

CCod

(L3) cache

Stupor

system level