• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Избежание детекта

odessey0x1f

New member
07.08.2021
3
0
BIT
0
Добрый день жители codeby!

Недавно прочитал один блог, в котором говорилось об обнанужении зловреда в системе средствами антивируса и windows защитника, а именно :

"...... Один из лучших способов избежать антивирусной защиты - полностью отключить создание процесса и просто использовать WINAPI. Но это потребовало бы тщательной обработки ваших полезных данных, и их было бы сложно перенести для кодирования оболочки. Это основная причина, по которой авторы вредоносных программ пишут свои вредоносные программы на языке C и выбирают только полезные нагрузки в шеллкоде.... ...."

Из этого можно сделать вывод, что способ который используется для вызова оболочки cmd это - CreateProcess !

Во всех примерах бэкдора используется именно CreateProcess для вызова cmd.

Также в шеллкоде на асм используется системный вызов.

Исходя из вышесказанного можно сделать вывод -

"ДЛЯ УПРАВЛЕНИЯ ЗАРАЖЕННЫМИ ОПЕРАЦИОННЫМИ СИСТЕМАМИ НУЖНО САМОСТОЯТЕЛЬНО ПИСАТЬ УПРАВЛЕНИЕ ЭТО ОС ИСПОЛЬЗУЯ API"

Значит такие команды как ls, cd, dir, rm, mkdir,
ни и конечно же - download, update,

НУЖНО ПИСАТЬ САМОМУ ?
 

Pernat1y

Well-known member
05.04.2018
1 443
135
BIT
0
Так значит не нужно использовать CreateProcess и вызываь оболочку?
Почему в примерах всегда используют этот способ?
Зависит от того, что бы хочешь получить.
Если работать с файлами, то для этого есть соответствующие апи - CopyFile, MoveFile, DeleteFileA и прочие.
Если тебе нужен шелл, то да, запускать cmd через тот же CreateProcess. Также рекомендуют посмотреть исходники Far :)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!