• XSS.stack #1 – первый литературный журнал от юзеров форума

Беспалевное использование NtApi в 2023

Отслеживать
Encommerce

Encommerce

(L3) cache
Пользователь
Регистрация
25.11.2022
Сообщения
235
Реакции
97
Знаю, что тема баян, обсуждают ее часто.
Но время идет, аверы становятся умнее, а количество противоречивой информации в голове только накапливается.

На данный момент получаю либу через TEB, адреса через IMAGE_EXPORT_DIRECTORY, использую хэш FNV1A64. Сразу +4 детекта!
Очень плохой результат...))

Может есть какие-то актуальные решения, которые хотя бы не вызывают моментальный триг?
 
Ну в 2023г актуальны сисколы, если надо какую то Rtl... -ее можно и самому написать.
 
Brejnev сказал(а):
Ну в 2023г актуальны сисколы, если надо какую то Rtl... -ее можно и самому написать.
Вопрос в том, как до них добраться)
Само наличие структуры IMAGE_EXPORT_DIRECTORY, как я понимаю, может палить
 
Brejnev сказал(а):
Ну в 2023г актуальны сисколы, если надо какую то Rtl... -ее можно и самому написать.
Или позаботится о колл стеке, или есть еще способы, но вот самому писать такое себе, тем более может встать вопрос не экпортируемых переменных, искать их масками тоже так себе тема.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Encommerce сказал(а):
Вопрос в том, как до них добраться)
Номера сисколлов: получил все Zw-функции из ntdll.dll, отсортировал их по адресу функции, далее номер сисколла по идее должен совпасть с индексом в отсортированном массиве.
 
DildoFagins сказал(а):
Номера сисколлов: получил все Zw-функции из ntdll.dll, отсортировал их по адресу функции, далее номер сисколла по идее должен совпасть с индексом в отсортированном массиве.
А есть ли способы избежать использования IMAGE_DOS_HEADER, IMAGE_NT_HEADERS, IMAGE_EXPORT_DIRECTORY и т.д.?
Может по каким-то наборам байт пропарсить, хз)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Encommerce сказал(а):
Может по каким-то наборам байт пропарсить
Структуры и есть наборы байт по сути.
 
Encommerce сказал(а):
А есть ли способы избежать использования IMAGE_DOS_HEADER, IMAGE_NT_HEADERS, IMAGE_EXPORT_DIRECTORY и т.д.?
Может по каким-то наборам байт пропарсить, хз)
Дружище ты ну очень плаваешь в вопросе, уверен что оно тебе вообще нужно?
Если да то попробуй делать так, накидывай список того что считаешь проблемой и почему именно, тебе объяснят по пунктам этого списка что и где ты понмаешь неверно.
 
DildoFagins сказал(а):
Структуры и есть наборы байт по сути.
Ну в них много лишней фигни.
Чисто интуитивно, есть ощущение, что они могут повлиять на обнвружение как-то)
 
Whisper сказал(а):
Дружище ты ну очень плаваешь в вопросе, уверен что оно тебе вообще нужно?
Если да то попробуй делать так, накидывай список того что считаешь проблемой и почему именно, тебе объяснят по пунктам этого списка что и где ты понмаешь неверно.
Да, так это я еще пытаюсь фильтровать как-то. А в голове психиатрия реально. Знаешь, мысль здравая. Пожалуй попозже запилю обсуждение всех наиболее значимых вопросов при написании malware :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Encommerce сказал(а):
Чисто интуитивно, есть ощущение, что они могут повлиять на обнвружение как-то
Структура - это структура, оно ничего кроме смещений элементов, к которым ты обращаешься, не добавляет.
 
Whisper сказал(а):
Дружище ты ну очень плаваешь в вопросе, уверен что оно тебе вообще нужно?
Ара вот плавает , но это не мешает ему отстаивать свою правоту здесь))) и поливать навозом всех , кто усомнится
 
Kapibara сказал(а):
Ара вот плавает , но это не мешает ему отстаивать свою правоту здесь))) и поливать навозом всех , кто усомнится
Лучшая защита это нападение. Но он реально шарит)
 
Encommerce сказал(а):
Но он реально шарит)
так где он шарит?))) бро, говорить разную х#йню я тоже могу. Где примеры работающих продуктов? Морфер стилака шамеля, который никто не видел?))
 
Kapibara сказал(а):
так где он шарит?))) бро, говорить разную х#йню я тоже могу. Где примеры работающих продуктов? Морфер стилака шамеля, который никто не видел?))
Да че ты к нему прицепился?)) Напиши свой. Сравним, посмотрим.
 
Encommerce сказал(а):
А есть ли способы избежать использования IMAGE_DOS_HEADER, IMAGE_NT_HEADERS, IMAGE_EXPORT_DIRECTORY и т.д.?
бро это просто смещения в файле, авер не может палить обращение к 0х3с, но если вумный и палит, то морфи (по заветам шамеля) это самое значение и будет тебе счастье.
Encommerce сказал(а):
Напиши свой. Сравним, посмотрим.
я себя тапком в грудь не бил, пусть сначала он выложит, заценим
 
Аверы щас трассируют кодес. Можете сами проверить. Да поможет вам запутывание графа и использование недокументированных нопов 🤣
 
Stupor сказал(а):
Аверы щас трассируют кодес. Можете сами проверить. Да поможет вам запутывание графа и использование недокументированных нопов 🤣
Запутывание графа это размытое понятие. Мусолили сутки в соседней теме, в итоге консенсуса никакого не достигли. А "недокументированные нопы" вообще не знаю, что такое) Можно ли любую функцию из ntdll назвать "недокументированным нопом"?)
 
Про недокументированные нопы - это шутка\намек, возможно просто не все новомодные опкоды понимает движок EDR, так же он вряд ли сможет многопоточное приложение трассировать на каждом ядре.
 
Stupor сказал(а):
Про недокументированные нопы - это шутка\намек, возможно просто не все новомодные опкоды понимает движок EDR, так же он вряд ли сможет многопоточное приложение трассировать на каждом ядре.
Дерево из 1000 дочерних потоков

1679049430850.png
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх