• XSS.stack #1 – первый литературный журнал от юзеров форума

Каким образом скрывать payload для LoadPE?

Отслеживать
Один лишь большой размер дата секции не является причиной детекта, расковвряйте ав и посмотрите, что толку в слепую лепить крипторы на авось? Далеко не уедете с таким подходом.
 
removekebab сказал(а):
Один лишь большой размер дата секции не является причиной детекта, расковвряйте ав и посмотрите, что толку в слепую лепить крипторы на авось? Далеко не уедете с таким подходом.
Когда data секция больше чем text, это не характерно для белого софта. В текст можно вот так записать:
C: 
#pragma section(".text")
__declspec(allocate(".text")) BYTE buff[] = { 0xDEADBEEF, ...};
 
Topstrelok сказал(а):
Когда data секция больше чем text, это не характерно для белого софта. В текст можно вот так записать:
C: 
#pragma section(".text")
__declspec(allocate(".text")) BYTE buff[] = { 0xDEADBEEF, ...};
Вы исследовали какой либо ав, или мнение основано на криптовании какой нибудь шляпы? o_O
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
MossadX сказал(а):
Видел метод, который составлял дерево байтов, нужен был только seed, но эту реализацию немного не понял.
http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/23817/
 
arsarsov сказал(а):
Скрытое содержимое
Это генератор на основе графов, сначала генерируется граф операций, потом он рассчитывается рекурсивно проходя по графу, на выходе получаем просто набор функций, которые получают на вход определенный SEED, а каждуя следующая функция принимает на вход как SEED результат работы предыдущей функции. И так байт-за-байтом данные генерируются кодом. Операции каждый раз случайные. Не обращай внимание на порядок нумерации функций, обьявления идут в случайном порядке, потому что генератор многопоточный, какой поток быстрее отработал - тот и пишет первый.
можно глянуть?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх