Малварь как искусство Фреймворк криптора/протектора на шелл-кодах x86/x64

[X-Shar]

Я все сделал как вы писали по шагам но у меня ошибка.Пишет что error get PayloadExe.exe.

Не может найти файл "PayloadExe.exe", это то-что нужно защитить, должен находится в папке с "LoadPeToShell.exe".

 

[ser44]

Не может найти файл "PayloadExe.exe", это то-что нужно защитить, должен находится в папке с "LoadPeToShell.exe".

Я удалил файл PayloadExe.exe и поставил свой exe с именам PayloadExe.exe как написано в инструкций.

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Там создался два файл и все.

 

[virt]

Запустите файл LoadPeToShell.exe из проводника, а не из студии.

Т.к. если запускать из студии "LoadPeToShell.exe" будет в другой папке находится, короче там другие пути уже будут.:(

 

[ser44]

Запустите файл LoadPeToShell.exe из проводника, а не из студии.

Т.к. если запускать из студии "LoadPeToShell.exe" будет в другой папке находится, короче там другие пути уже будут.:(

Спасибо большое заработала

 

[preudo-random]

Добрый день! Пытался запустить ваш гит-проект на обычном калькуляторе (calc.exe) и попадаю в секцию ret!=1 (Хьюстон, у нас проблемы =) ). Как я понимаю проблема в разрядности, сам сижу на х64 Винде. Запустить в х64 релиз - не помогло, т.к. думаю что это никак не поможет, потому что сам код построен под х32 (DWORD же в основе кода (или на х64 смещение все равно 4 байта? исправьте если я не прав, не настолько спец) то есть ваш код будет работать только на х32 архитектуре .ехе? Не учитывая все другие расширения у которых протокол стандартный.Или нужно попытаться отключить все оптимизации, сменить компилятор или еще что-то? Или я просто жестко туплю и не могу понять что-то примитивное?

П.С. другие маленькие по размеру экзешки х86 тоже пытался запустить через стаб и все безрезультатно

 

[X-Shar]

@preudo-random, что-бы запустить x64, нужно следующее:

1) Пересобрать

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

для x64.

2)В Release для x64 положить файл, который нужно закриптовать с именем PayloadExe.exe.

3)Запустить файл "LoadPeToShell.exe" для x64.

4)Собрать проект в Visual Studio C++ для x64.

Должно заработать, вообще проект неотлажен, тут просто показать концепт, баги фиксить нет у меня времени.
Может как руки дойдут.)))

 

[preudo-random]

@preudo-random, что-бы запустить x64, нужно следующее:

1) Пересобрать

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

для x64.

2)В Release для x64 положить файл, который нужно закриптовать с именем PayloadExe.exe.

3)Запустить файл "LoadPeToShell.exe" для x64.

4)Собрать проект в Visual Studio C++ для x64.

Должно заработать, вообще проект неотлажен, тут просто показать концепт, баги фиксить нет у меня времени.
Может как руки дойдут.)))

И со стороны х64 я тоже пытался, в пейлод заходит, а там колл файл сегмента и получаеться перепрыгует далеко по памяти - в другие процессы похоже, короче эксепшн ловлю за чтение. Может хотя бы можете подсказать где именно бреш может быть, чтобы закрыть легче было, спасибо

 

[Encog]

@X-Shar, при запуске своего криптованного exe-файла выскакивает окно -

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Причем я попробовал криптор вот из этой темы и тоже выскакивает это окно. Не понял в чем несовместимость, в . NET Framework?

 

[Jefferson]

@X-Shar, при запуске своего криптованного exe-файла выскакивает окно -

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Причем я попробовал криптор вот из этой темы и тоже выскакивает это окно. Не понял в чем несовместимость, в . NET Framework?

.NET файлы не поддерживаются

 

[X-Shar]

Да можно запускать только нативные файлы, также тут важно собирать x86.

Там я так и не пофиксил сборку для x64, можете сами попробовать.

Также как проект этот не доведен до ума, просто показать концепт, так там доделывать/переделывать нужно, у меня что-то желания нет.:(