NT
Или работает уже в доверенном процессе
Size: a a a
2018 May 08
NK
пропарсит все прогрузит
NK
сотрет заголовки
NK
и передаст управление на dllmain
NK
а вы предлагаете писать в голом виде Dll через самую палевную апи и еще палевнее создавать поток на ее экспорте через CreateRemotThread....
NK
Да круто что в доверенном
NK
Как будто это один способ в доверенный прогрузить
NK
Если на то пошло, то есть dll hijacking. Там вообще без инжектов и фиг спалишь. Да - права, да - не универсально. Зато работает беспребойно
NK
NK
загрузите сюда ваш софт, который рефлективом что-либо инжектит
NK
удивитесь когда он прям напишет "Reflective dll injection" и даст вам скачать вашу дллку в голом виде
NK
А при инжекте шеллкода есть большой плюс. Можно ключ декрипта дллки получать по сети
NK
И если и извлечет шеллкод - основной пейлоад не декрипнут если сервак не отдает ключ
NK
Достаточно убедительно объяснил?
K
ID:515035506
Достаточно убедительно объяснил?
Предлагаю сделать PoC для пущей убедительности...
NK
Я не собираюсь делиться своими наработками
NK
Если я вас не убедил - ваши проблемы
NK
Кому надо тот сам сделает
V
ID:515035506
Достаточно убедительно объяснил?
по сути для песочницы это лишь удлиняет цепочку прогруза в память дллки, я так понимаю?
NK
Удлиняет + добавляет крипт поверх