Вообще я не нашел если честно исходники лоадеров или малварей прям так чтобы много и можно было посидеть посмотреть поразмышлять
Давайте это исправим!
Давайте это исправим!
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Лоадер или стилак, вообще любой полезный актуальный софт на с++ исходники
- Автор темы babyjo
- Дата начала
Давай бро, начинай первым - напиши лоадыр или малварь и выложи тут. Будем размышлять!
- Автор темы
- Добавить закладку
- #3
Я сейчас сижу анализирую, пишу подгруз в чужой процесс, через нтдлл , х#йня?
покажи код
Однозначно да. Хотя если тебе пох на ав то сойдет.
- Автор темы
- Добавить закладку
- #6
А как тогда лучше ?
- Автор темы
- Добавить закладку
- #7
C++:
void InjectDllIntoProcess(const DWORD &processId, const LPCSTR &DllPath) {
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, processId);
LPVOID pDllPath = VirtualAllocEx(hProcess, nullptr, strlen(DllPath) + 1,
MEM_COMMIT, PAGE_READWRITE);
WriteProcessMemory(hProcess, pDllPath, (LPVOID)DllPath,
strlen(DllPath) + 1, nullptr);
HANDLE hLoadThread = CreateRemoteThread(hProcess, nullptr, 0,
(LPTHREAD_START_ROUTINE)GetProcAddress(GetModuleHandleA("Kernel32.dll"),
"LoadLibraryA"), pDllPath, 0, nullptr);
WaitForSingleObject(hLoadThread, INFINITE);
std::cin.get();
VirtualFreeEx(hProcess, pDllPath, strlen(DllPath) + 1, MEM_RELEASE);
}void InjectDllIntoProcess(const DWORD &processId, const LPCSTR &DllPath) {
Внушает в натуре! никакой косяк не пройдет.
Внушает в натуре! никакой косяк не пройдет.
- Автор темы
- Добавить закладку
- #9
это тестовая х#йня, понятное дело что длл будет в памяти брат
Дам совет хотя и зря скорее всего. Не пиши малвару на плюсах - если хреново знаешь плюсы и если не знаешь асм. Делай на шрапе, будет больше толку. А то это как беготня по полю от снайпера, сдохнешь уставшим.
CreateRemoteThread + GetModuleHandle + LoadLibraryA сразу эвристика любого АВ будет палить. Как минимум, надо шифровать всё, что ты вызываешь в GetProcAddress. И не вызывать CreateRemoteThread напрямую, чтобы не светиться в импорте
- Автор темы
- Добавить закладку
- #12
А как это обойти ?
У меня этот код спалили 6 аверов и то парашных каких то
https://github.com/odzhan/injection - подборка алгоритмов инжектирования кода, тот, что приведен здесь выше будет палиться всем, кому не лень. Нужно что-то менее очевидное выбирать, если выбирать инжект вообще.
- Автор темы
- Добавить закладку
- #14
спасибо большое а Reflective DLL injection как вообще метода ?
Это сильно поможет парню который передает ссылки даже на дворд и ебашит const const wchar* &. Медведный лев бля.
- Автор темы
- Добавить закладку
- #16
F
А как нужно,указатель?
Ц++ пиздец сложная ебала с кучей всякого неявного, добавим сюда что малварокодинг который собирается чтото там обходить задача тоже сложная. А языка ты не знаешь, в тему обходов и нюансов с апи тоже не погружен. А еще и асм ты не знаешь, а это важно раз уж именно с плюсов решил зайти. Твой творческий порыв он не приведет ни к чему, учится плюсам вот на этом кейсе не самый лучший вариант, это наверное самый херовый вариант.
- Автор темы
- Добавить закладку
- #18
хорошо но ты можешь сказать как нужно было?
Ну вообще есть один секретный ресурс c исходниками малвари, даже не знаю, можно ли рассказывать. Думаю, по крайней мере о нём нужно говорить шепотом. (Дальше шепотом) Так вот, vx-underground называется. Только проблема в том, что никто не знает пароль от их архивов, такие дела, приятель.
например так
void InjectDllIntoProcess(DWORD processId, LPCSTR DllPath) {
ну если упоротый то можно и так
void InjectDllIntoProcess(const DWORD processId, LPCSTR const DllPath) {
LPCSTR - это CONST *CHAR
да кстати аски для имен юзают только быдлокодеры, видишь где то GetModuleHandleA и прочее что заканчивается на A, знай это быдлокод.