Добрый день жители codeby!
Недавно прочитал один блог, в котором говорилось об обнанужении зловреда в системе средствами антивируса и windows защитника, а именно :
"...... Один из лучших способов избежать антивирусной защиты - полностью отключить создание процесса и просто использовать WINAPI. Но это потребовало бы тщательной обработки ваших полезных данных, и их было бы сложно перенести для кодирования оболочки. Это основная причина, по которой авторы вредоносных программ пишут свои вредоносные программы на языке C и выбирают только полезные нагрузки в шеллкоде.... ...."
Из этого можно сделать вывод, что способ который используется для вызова оболочки cmd это - CreateProcess !
Во всех примерах бэкдора используется именно CreateProcess для вызова cmd.
Также в шеллкоде на асм используется системный вызов.
Исходя из вышесказанного можно сделать вывод -
"ДЛЯ УПРАВЛЕНИЯ ЗАРАЖЕННЫМИ ОПЕРАЦИОННЫМИ СИСТЕМАМИ НУЖНО САМОСТОЯТЕЛЬНО ПИСАТЬ УПРАВЛЕНИЕ ЭТО ОС ИСПОЛЬЗУЯ API"
Значит такие команды как ls, cd, dir, rm, mkdir,
ни и конечно же - download, update,
НУЖНО ПИСАТЬ САМОМУ ?
Недавно прочитал один блог, в котором говорилось об обнанужении зловреда в системе средствами антивируса и windows защитника, а именно :
"...... Один из лучших способов избежать антивирусной защиты - полностью отключить создание процесса и просто использовать WINAPI. Но это потребовало бы тщательной обработки ваших полезных данных, и их было бы сложно перенести для кодирования оболочки. Это основная причина, по которой авторы вредоносных программ пишут свои вредоносные программы на языке C и выбирают только полезные нагрузки в шеллкоде.... ...."
Из этого можно сделать вывод, что способ который используется для вызова оболочки cmd это - CreateProcess !
Во всех примерах бэкдора используется именно CreateProcess для вызова cmd.
Также в шеллкоде на асм используется системный вызов.
Исходя из вышесказанного можно сделать вывод -
"ДЛЯ УПРАВЛЕНИЯ ЗАРАЖЕННЫМИ ОПЕРАЦИОННЫМИ СИСТЕМАМИ НУЖНО САМОСТОЯТЕЛЬНО ПИСАТЬ УПРАВЛЕНИЕ ЭТО ОС ИСПОЛЬЗУЯ API"
Значит такие команды как ls, cd, dir, rm, mkdir,
ни и конечно же - download, update,
НУЖНО ПИСАТЬ САМОМУ ?
