• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Малварь как искусство Фреймворк криптора/протектора на шелл-кодах x86/x64 (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 409
Репутация
7 897
Telegram
Я все сделал как вы писали по шагам но у меня ошибка.Пишет что error get PayloadExe.exe.
Не может найти файл "PayloadExe.exe", это то-что нужно защитить, должен находится в папке с "LoadPeToShell.exe".
 

ser44

Житель форума
Форумчанин
Регистрация
30.03.2020
Сообщения
11
Не может найти файл "PayloadExe.exe", это то-что нужно защитить, должен находится в папке с "LoadPeToShell.exe".
Я удалил файл PayloadExe.exe и поставил свой exe с именам PayloadExe.exe как написано в инструкций.
Там создался два файл и все.
 
Последнее редактирование:

virt

Уважаемый пользователь
Форумчанин
Регистрация
24.11.2016
Сообщения
707
Репутация
222
Запустите файл LoadPeToShell.exe из проводника, а не из студии.

Т.к. если запускать из студии "LoadPeToShell.exe" будет в другой папке находится, короче там другие пути уже будут.:(
 

ser44

Житель форума
Форумчанин
Регистрация
30.03.2020
Сообщения
11
Запустите файл LoadPeToShell.exe из проводника, а не из студии.

Т.к. если запускать из студии "LoadPeToShell.exe" будет в другой папке находится, короче там другие пути уже будут.:(
Спасибо большое заработала
 
Последнее редактирование:

preudo-random

Житель форума
Форумчанин
Регистрация
04.06.2020
Сообщения
2
ICQ
0
Добрый день! Пытался запустить ваш гит-проект на обычном калькуляторе (calc.exe) и попадаю в секцию ret!=1 (Хьюстон, у нас проблемы =) ). Как я понимаю проблема в разрядности, сам сижу на х64 Винде. Запустить в х64 релиз - не помогло, т.к. думаю что это никак не поможет, потому что сам код построен под х32 (DWORD же в основе кода (или на х64 смещение все равно 4 байта? исправьте если я не прав, не настолько спец) то есть ваш код будет работать только на х32 архитектуре .ехе? Не учитывая все другие расширения у которых протокол стандартный.Или нужно попытаться отключить все оптимизации, сменить компилятор или еще что-то? Или я просто жестко туплю и не могу понять что-то примитивное?

П.С. другие маленькие по размеру экзешки х86 тоже пытался запустить через стаб и все безрезультатно
 
Последнее редактирование:

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 409
Репутация
7 897
Telegram
@preudo-random, что-бы запустить x64, нужно следующее:

1) Пересобрать LoadPeToShell для x64.

2)В Release для x64 положить файл, который нужно закриптовать с именем PayloadExe.exe.

3)Запустить файл "LoadPeToShell.exe" для x64.

4)Собрать проект в Visual Studio C++ для x64.

Должно заработать, вообще проект неотлажен, тут просто показать концепт, баги фиксить нет у меня времени.
Может как руки дойдут.)))
 

preudo-random

Житель форума
Форумчанин
Регистрация
04.06.2020
Сообщения
2
ICQ
0
@preudo-random, что-бы запустить x64, нужно следующее:

1) Пересобрать LoadPeToShell для x64.

2)В Release для x64 положить файл, который нужно закриптовать с именем PayloadExe.exe.

3)Запустить файл "LoadPeToShell.exe" для x64.

4)Собрать проект в Visual Studio C++ для x64.

Должно заработать, вообще проект неотлажен, тут просто показать концепт, баги фиксить нет у меня времени.
Может как руки дойдут.)))
И со стороны х64 я тоже пытался, в пейлод заходит, а там колл файл сегмента и получаеться перепрыгует далеко по памяти - в другие процессы похоже, короче эксепшн ловлю за чтение. Может хотя бы можете подсказать где именно бреш может быть, чтобы закрыть легче было, спасибо
 

Encog

Пользователь
Первый уровень
Регистрация
13.08.2020
Сообщения
2
@X-Shar, при запуске своего криптованного exe-файла выскакивает окно - Screenshot
Причем я попробовал криптор вот из этой темы и тоже выскакивает это окно. Не понял в чем несовместимость, в . NET Framework?
 

Jefferson

Уважаемый пользователь
Форумчанин
Регистрация
09.06.2019
Сообщения
63
Репутация
35

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 409
Репутация
7 897
Telegram
Да можно запускать только нативные файлы, также тут важно собирать x86.

Там я так и не пофиксил сборку для x64, можете сами попробовать.

Также как проект этот не доведен до ума, просто показать концепт, так там доделывать/переделывать нужно, у меня что-то желания нет.:(