Информация [PDF] Флуктуация shell-кода. Пишем инжектор для динамического шифрования полезной нагрузки в памяти


Spectrum735

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
264
Репутация
146
Отличная статья с журнала xakep

Оформлена в виде PDF. Кое-где сползло оформление, сильно не бейте)

Пароль: ru-sfera.pw
 

Вложения

  • Флуктуация шеллкода.rar
    851.8 КБ · Просмотры: 11
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 208
Да не плохая статья.

Только стоит отметить что многие антивирусы могут определять изменения доступа к памяти, незнаю как они это делают, но если например у вас будет пусть и расшифрованный код зверька в памяти с доступом RW, детекта не будет, но как только вы измените доступ на исполнение, будет скан и детект.)

Поэтому как-то так, видимо самое просто решение, как-то чистить самого зверька.
 
Spectrum735

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
264
Репутация
146
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 208
A

alexandro1998

Пользователь
Форумчанин
Регистрация
08.12.2023
Сообщения
26
Репутация
10
Spectrum735 сказал(а):
Скорее всего детект на банальную связку RWX, хотя нужно RW → RX, а потом скакать R ↔ RX
Нажмите, чтобы раскрыть...
ИМЕННО икс!) И проблема в том, что тут даже сетификатом не спасти - были испытания. Легче работать в 2 лоадера - первый глобально чекает если ок -> 2го закидывает который минимизирует любые возможные будущие проблемы и уже наконец он сам подтягивает главную малварь.
Получается 1й точно уходит на анализ, его и пичкаем анти-плюхами + приват криптор. 2й можно попроще, ну и на саму малварь - снова крипт, можно какой-то свой, модификат, не полиморфный.
П.С. сертификат, в плане даже если подгружать такой файл далее, но запускать по pdf+vbs, англичане (заморские EDR*EDX) ругаются
 
A

anta

Пользователь
Форумчанин
Регистрация
06.12.2023
Сообщения
5
1704166404490.png
 
Spectrum735

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
264
Репутация
146
@anta,you should use winrar
 
X-Shar

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 085
Репутация
8 208
Пароль: ru-sfera.pw

Может пароль не правильно введен ?
 
A

anta

Пользователь
Форумчанин
Регистрация
06.12.2023
Сообщения
5
На Линуксе Винрара нет, но есть unrar. Всегда всё работаёт, но в этот раз нет. Пароль ввожу.
В zip-e или 7z нельзя разве залить? В zip-e есть тоже есть возможность установить пароль. Зачем rar, который и платный, и только под Винду?
 
Для ответа нужно войти/зарегистрироваться
Автор темы Похожие темы Форум Ответы Дата
Spectrum735 Информация [PDF] Обход EDR систем СТАТЬИ И УРОКИ ПО ИССЛЕДОВАНИЮ ЗАЩИТЫ 6
Похожие темы
Информация [PDF] Обход EDR систем
Верх Низ