Перейти к содержанию

recv32

Пользователь
  • Публикаций

    45
  • Зарегистрирован

  • Посещение

Репутация

8 Neutral

Информация о recv32

  • Звание
    Rank №2
  1. Avira и как её успокоить

    Авира имеет мощную эвристику, но следует понимать, что современная эвристика это не только скан секций и энтропии, а еще и эмуляция. TR/Crypt.XPACK - обычно эвристический детект на энтропию/подозрительную структуру файла. Хранить криптоконтейнер в .data - тоже самое что стрелять себе в ногу, храни в ресурсах по частям дабы не создавать лишнюю энтропию, если шифруешь контейнер RC4 - убирай MZ заголовки(4d5a), поскольку АВ пробрутит очень быстро, и при нахождении данных заголовков выдаст детект. Вполне имеет место быть. достань адрес kernel32 из структуры ProcessEnvironmentBlock(Ldr->InMemoryOrderModuleList->Flink) и вытащи адреса нужных функций из экспорта, дабы избежать детектов на директивных вызовах API. Попробуй трешгенить функциями из графических библиотек, те же битмапы из gdi/gdiplus, полезная нагрузка забьет импорт, на выходе меньше подозрительности. А ты точно отключаешь отладочную инфу? :)
  2. мини бот си (линукс)

    хех с быдлокода. мне кажется, ТСу рановато ботов писать, калькуляторы для начала подойдут.
  3. С++ С нуля До профи

    Начни с изучения основ С, далее прочти "Искусство дизассемблирования" для общего понимания работы программ, после ставь windbg с отладочными символами и начинай реверс ядра винды.
  4. Скорее всего идет проверка по parentProcessId, а после проверка на explorer, можно попытаться доставить dll в процесс, и уже затем запустить целевой файл.
  5. Замена строки в екзешнике

    А что, сложно запилить цикл с расчетом количества секций относительно значению FileHeader->NumberOfSections? или о каких секциях идет речь? Да, авира с авастом не очень как-то на это смотрят, крипт решает проблему. И да, перед патчингом адреса строки в отладчике лучше рандомизацию адресного пространства снять, а то смещения поедут.
  6. Замена строки в екзешнике

    Найди в экзешнике где эта строка пушится. Замени адрес на другой и по тому адресу впиши что тебе надо. Если нет в экзешнике вообще места, то как вариант где-то в заголовках запрятать. Если места не хватит, то вариант такой: Меняем точку входа на свой код, в своем коде выделяем память и туда lstrcpy строки, адрес сохраняем в начало пушимой строки. Потом делаем прыжок на OEP. Далее патчим там где идет пуш в стек/регистр строки можно сделать сплайсинг или любой другой перехват на свою функцию, где ты запушишь адрес, который записал в эту строку ( а не адрес этой строки ) и сделаешь возврат на инструкцию после. Для патчинга юзай либо Hiew, либо OllyDbg, либо x64dbg. Кому что удобнее. Я бы выбрал последнее. Скорее всего для него это будет сложным, я делаю так: создаю секцию, ставлю права на выполнение, а после в ней создаю новую строку с ориентировочно-максимальной длиной, например "xxxxxxxxxxxxxxxxxxxx", далее делаю переход на адрес перезаписи строки, после пробегаюсь патчером.
  7. Замена строки в екзешнике

    Делал когда-то патчер, держи. #include #include #include #include #include #include template void replace(const std::string
  8. ВНЦ

    Перпендикулярную --------- Папки в профайле можно проигнорировать все, а вот файлы что лежат на первом уровне профайла надо скопировать все syscall и запись в файл из ядра
  9. Помогите с куки

    куки в JSON формате, попробуй плагин EditThisCookie, там есть возможность импортировать с файла.
  10. Сильно зависит от метода закрепа. По поводу поднятия прав - WMI как вариант.
  11. Если не светить приватные варианты, а брать например из простых, то можно регнуть службу, или хайжектнуть процесс с соответствующими правами.
  12. Что подразумевается под "тупым" кодом? быдлокод? ну тогда складывается слегка неоднозначное впечатление, не знаю как в жаве, но в плюсах за быдлокод отбивают руки. Достаточно посмотреть сорцы буста и будет видно - что быдлокодом там не пахнет, хотя буст является тестовой площадкой стл, это не какая-то там компания. Пожалуй стоит перенестись в реалии плюсов, сразу назревает вопрос, а для чего нужен тот же SFINAE? давайте чистить non-pod объекты memset'ом?
  13. Модный запуск DLL

    Давай попробуем еще раз, тебе необходимо загрузить dll в адресное пространство текущего процесса? В чем проблема промэппить образ и дергать экспортируемые функции, там же по сути работа заключается в мэппинге импортов, перемещений, секций с учетом выравнивания. Дропать на диск - не лучшее решение, почему думаю не составит труда догадаться. Зачем создавать поток через обертки вроде BeginThread когда есть винапи? В процесс аттаче вызываешь CreateThread, первым параметром передаешь атрибуты, вторым адрес функции, возможно мы говорим о разных вещах, но вообще майнер прав, дабы не расписывать все в треде - подкину линк в котором подробно все это описывается, https://docs.microsoft.com/ru-ru/windows/de...-best-practices Можешь попробовать заюзать либу для загрузки dll из памяти если лень пилить пелоадер, правда она на сях https://github.com/fancycode/MemoryModule
  14. Модный запуск DLL

    Не особо понял о чем речь, если ты подразумеваешь ошибку чтения - то нужно копировать файл, подразумеваю что sqlite с флагами при открытии переборщил, можно попробовать хукнуть функционал чтения и поставить нужные параметры. P.S что общего между стиллером и инжектом? почему бы не замэппить образ dll? или тебя авторан интересует?
×