• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос про лоадер

Отслеживать
Builder0

Builder0

HDD-drive
Пользователь
Регистрация
26.12.2022
Сообщения
25
Реакции
3
Вопрос про лоадер

Использовал пару дней способ из этой темы: https://xss.pro/threads/71000/ но сейчас ловлю детекты от Дефендера (Watac). Каким образом обнаруживается вредонос, если код почти не меняется и вообще он весь в .txt и его там мало так то? Не понимаю на что идет детект, неужели идет привязка к устройству с которого были созданы файлы, из которого состоит лоадер? Знаю что в упор не вижу корень проблемы, но может кто подскажет.
 
детект идет на сам sfx архив даже если упаковать просто txt файл в sfx будет детект (все из за траффика через sfx архив) можно сделать лоадер на шарпе который будет весом 10 кб и фуд
 
Builder0 сказал(а):
Вопрос про лоадер
Автор того топика не очень умный, не обращайте внимания
Смысл "лоадера" в том что бы беспалевного загрузить и запустить пейлоад.Как минимум не дропая его сразу же на диск.
Написать софт который скачает что-то с удаленного сервера на диск и потом запустит можно вообще без знаний минуты за полторы
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Не используйте в таких темах способы, представленные на всеобщее обозрение. Будет и детектов меньше.
 
Накидайте опенсорс loader/dropper код с нулевым детектом. Самые простые, чтобы можно было скачать файл и запустить.
 
Builder0 сказал(а):
Вопрос про лоадер

Использовал пару дней способ из этой темы: https://xss.pro/threads/71000/ но сейчас ловлю детекты от Дефендера (Watac). Каким образом обнаруживается вредонос, если код почти не меняется и вообще он весь в .txt и его там мало так то? Не понимаю на что идет детект, неужели идет привязка к устройству с которого были созданы файлы, из которого состоит лоадер? Знаю что в упор не вижу корень проблемы, но может кто подскажет.
АВ смотрят алгоритм работы, на твоём примере это расспаковка архива и запуск скриптов, следом идёт скрытая скачка "подозрительного ПО" и запуск этого ПО. Конечно АВ будет ругаться на такие подозрительные действия, в твоём случае АВ такой алгоритм напомнил Wacatac. Сам sfx это уже подозрительно, sfx сравнивается с joiner'ом файлов, поэтому радуйся что вообще работало, тем более паблик метод.

P.S. прорекламирую свои услуги :)
У меня есть лоадер, сдаю в аренду, если интересует пиши в ПМ.
 
DarkBLUP сказал(а):
АВ смотрят алгоритм работы, на твоём примере это расспаковка архива и запуск скриптов, следом идёт скрытая скачка "подозрительного ПО" и запуск этого ПО. Конечно АВ будет ругаться на такие подозрительные действия, в твоём случае АВ такой алгоритм напомнил Wacatac. Сам sfx это уже подозрительно, sfx сравнивается с joiner'ом файлов, поэтому радуйся что вообще работало, тем более паблик метод.

P.S. прорекламирую свои услуги :)
У меня есть лоадер, сдаю в аренду, если интересует пиши в ПМ.
Не использую метод с sfx. Мне нужны примеры кода простейших лоадеров без наворотов типа отключения Дефендера. Не стал создавать новую тему, поэтому пишу сюда.
 
Builder0 сказал(а):
Не использую метод с sfx. Мне нужны примеры кода простейших лоадеров без наворотов типа отключения Дефендера. Не стал создавать новую тему, поэтому пишу сюда.
Ты же сам скинул линк, там в теме прописано про sfx. Отключение WD можешь делать exploit'ами, но это уже знания нужны, да и фуд метод вряд ли кто то бесплатно тебе даст. Самый простой способ отключения это powershell скрипт, но тут тоже свои заморочки, такие как получение флага ADMIN на атакованной машине + обфускация самого скрипта.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх