Prophet
Я вижу будущее!И ты по прежнему клепаеш говнокод
Советую заглянуть: https://moneymake.pw/threads/3687/
ЕСЛИ ВЫ ПОСЛЕ ПРОЧТЕНИЯ И КОПИРОВАНИЯ ЧЕГО НИБУДЬ НАШЛИ ИСТОЧНИК,
НЕ НУЖНО ГОВОРИТЬ ЧТО КОПИПАСТ.ВСЕ СКАЗАНО ДО НАС,ЗАПОМНИТЕ.ЭТО ДЛЯ НОВОРЕГОВ И ТЕХ КТО ПРОСИЛ ЗДЕЛАТЬ ТЕМУ
Приветствую, юные сриптккиди!Я понимаю что все вы имеете разные уровни знаний в этой областе,по этому я разобью все на такие группы:
-Что такое руткиты(коротко,потому что Википедия нам тут не нужна)
-Книгы про Руткиты
-Немного о Process Doppelgänging
-Работа с Process Doppelgänging
-Немного про NTFS
-Как сделать Process Doppelgänging (пример)
Итак,начнем:
1.Если кратко,то руткиты-это програма или набор программ,что позволяют хакеру,скрыть програму,процесс и действия самой програмы(ясно что вредоносной).Дальше советую глянуть ниже указание книги,но сразу скажу что для Окошка, есть два метода создания руткитов- перехват арi и через таблицы нулевого кольца (доступ к нулевому кольцу легче всего одержать Ассемблером (по моему мнению,и вообще здесь все субьективно,не понравилось я все понимаю,комменты для обсирания откриты).
2.http://www.dkws.org.ua/mybooks/rk_ogl.pdf - книга Колисниченко Д.Н
https://proklondike.net/books/hacking/hacking_Hoglund_Butler_Rutkits_Windows.html - Батлер Дж.,Хоглунд Г.
AHTUNG! Много копипаста,который доступен только людям с прокаченым умениям гуглить
3.Техника Process Doppelgänging чем‐то похожа на своего предшественника — Process Hollowing, но отличается механизмами запуска приложения и взаимодействия с загрузчиком операционной системы. Кроме того, в новой технике при меняются механизм транзакций NTFS и соответствующие WinAPI, например CreateTransaction , CommitTransaction ,CreateFileTransacted и RollbackTransaction , которые, разумеется, не используются в Process Hollowing.
Это одновременно сильная и слабая черта новой техники октрытия процессов. С одной стороны, разработчики антивирусов и про чего защитного софта не были готовы к тому, что для запуска вредоносного кода будут использованы WinAPI, отвечающие за транзакции NTFS. С другой стороны, после доклада на конференции эти WinAPI сразу попадут под подозрение, если будут встречаться в исполняемом коде. И неудивительно: это редкие системные вызовы, которые практически не применяются в обычных программах. Конечно, есть несколько способов скрыть вызовы WinAPI, но это уже другая история, а сей час мы имеем неплохой концепт, который можно развивать.
ВАЖНО: 4. Для реализации техники Process Doppelgänging нам нужно выполнить такие шаги:
1. Создаем новую транзакцию NTFS при помощи функции CreateTransaction (для не шарющих в этой сфере: https://ru.wikipedia.org/wiki/Транзакционная_NTFS)
2. В контексте транзакции создаем временный файл для нашего кода функцией CreateFileTransacted
3. Создаем в памяти буферы для временного файла (объект «секция», функция NtCreateSection ).
4. Проверяем PEB.
5. Запускаем процесс через.
Если что-то с этого не поняли дайте знать что вам это нужно сделать отдельную тему
6. Для чего все здесь! ДЕРЖИТЕ:
https://drive.google.com/open?id=1DRz6aPBBGKOmkzSlvlCM4SV1ZDjf5fET (если я увижу что нужно и что вам понраилось то скину нормально целый код)
ЕСЛИ ВЫ ПОСЛЕ ПРОЧТЕНИЯ И КОПИРОВАНИЯ ЧЕГО НИБУДЬ НАШЛИ ИСТОЧНИК,
НЕ НУЖНО ГОВОРИТЬ ЧТО КОПИПАСТ.ВСЕ СКАЗАНО ДО НАС,ЗАПОМНИТЕ.ЭТО ДЛЯ НОВОРЕГОВ И ТЕХ КТО ПРОСИЛ ЗДЕЛАТЬ ТЕМУ
Приветствую, юные сриптккиди!Я понимаю что все вы имеете разные уровни знаний в этой областе,по этому я разобью все на такие группы:
-Что такое руткиты(коротко,потому что Википедия нам тут не нужна)
-Книгы про Руткиты
-Немного о Process Doppelgänging
-Работа с Process Doppelgänging
-Немного про NTFS
-Как сделать Process Doppelgänging (пример)
Итак,начнем:
1.Если кратко,то руткиты-это програма или набор программ,что позволяют хакеру,скрыть програму,процесс и действия самой програмы(ясно что вредоносной).Дальше советую глянуть ниже указание книги,но сразу скажу что для Окошка, есть два метода создания руткитов- перехват арi и через таблицы нулевого кольца (доступ к нулевому кольцу легче всего одержать Ассемблером (по моему мнению,и вообще здесь все субьективно,не понравилось я все понимаю,комменты для обсирания откриты).
2.http://www.dkws.org.ua/mybooks/rk_ogl.pdf - книга Колисниченко Д.Н
https://proklondike.net/books/hacking/hacking_Hoglund_Butler_Rutkits_Windows.html - Батлер Дж.,Хоглунд Г.
AHTUNG! Много копипаста,который доступен только людям с прокаченым умениям гуглить
3.Техника Process Doppelgänging чем‐то похожа на своего предшественника — Process Hollowing, но отличается механизмами запуска приложения и взаимодействия с загрузчиком операционной системы. Кроме того, в новой технике при меняются механизм транзакций NTFS и соответствующие WinAPI, например CreateTransaction , CommitTransaction ,CreateFileTransacted и RollbackTransaction , которые, разумеется, не используются в Process Hollowing.
Это одновременно сильная и слабая черта новой техники октрытия процессов. С одной стороны, разработчики антивирусов и про чего защитного софта не были готовы к тому, что для запуска вредоносного кода будут использованы WinAPI, отвечающие за транзакции NTFS. С другой стороны, после доклада на конференции эти WinAPI сразу попадут под подозрение, если будут встречаться в исполняемом коде. И неудивительно: это редкие системные вызовы, которые практически не применяются в обычных программах. Конечно, есть несколько способов скрыть вызовы WinAPI, но это уже другая история, а сей час мы имеем неплохой концепт, который можно развивать.
ВАЖНО: 4. Для реализации техники Process Doppelgänging нам нужно выполнить такие шаги:
1. Создаем новую транзакцию NTFS при помощи функции CreateTransaction (для не шарющих в этой сфере: https://ru.wikipedia.org/wiki/Транзакционная_NTFS)
2. В контексте транзакции создаем временный файл для нашего кода функцией CreateFileTransacted
3. Создаем в памяти буферы для временного файла (объект «секция», функция NtCreateSection ).
4. Проверяем PEB.
5. Запускаем процесс через.
Если что-то с этого не поняли дайте знать что вам это нужно сделать отдельную тему
6. Для чего все здесь! ДЕРЖИТЕ:
https://drive.google.com/open?id=1DRz6aPBBGKOmkzSlvlCM4SV1ZDjf5fET (если я увижу что нужно и что вам понраилось то скину нормально целый код)
