За хорошую оплату ищу ответственного исполнителя по чистке си кода. Проект: https://github.com/rapid7/metasploit-payloads/tree/master/c/meterpreter Задача: 1. Поставить msf. 2. Поставить NOD32, Kaspersky, Symantec, TrendMicro на виртуальные машины. 3. Воспроизввести детекты на каждом ав. 4. Разобраться в причинах детектов и детально описать. 5. Переписать код избавившись от детектов. Прайс: 5к$ btc Требования к соискателю - порядочность, честность, пунктуальность.
Не нужно ничего устанавливать. п5 не резолвится никак, детект не по самому коду, а по используемым техникам. Смотрим https://github.com/rapid7/Reflectiv...17a621f33647d644103/inject/src/LoadLibraryR.c Код (Text): 208 // alloc memory (RWX) in the host process for the image... 209 lpRemoteLibraryBuffer = VirtualAllocEx( hProcess, NULL, dwLength, MEM_RESERVE|MEM_COMMIT, PAGE_EXECUTE_READWRITE ); 210 if( !lpRemoteLibraryBuffer ) 211 break; 212 213 // write the image into the host process... 214 if( !WriteProcessMemory( hProcess, lpRemoteLibraryBuffer, lpBuffer, dwLength, NULL ) ) 215 break; 216 217 // add the offset to ReflectiveLoader() to the remote library address... 218 lpReflectiveLoader = (LPTHREAD_START_ROUTINE)( (ULONG_PTR)lpRemoteLibraryBuffer + dwReflectiveLoaderOffset ); 219 220 // create a remote thread in the host process to call the ReflectiveLoader! 221 hThread = CreateRemoteThread( hProcess, NULL, 1024*1024, lpReflectiveLoader, lpParameter, (DWORD)NULL, &dwThreadId ); 222 Это проактивка заблокирует. Но есчо до этого возможно сама система. Инжект примитивный времён винхп.
Полагаю, тс нужен шелл, а набор используемых техник его мало волнует, лишь бы работало и не детектилось.
хз, зачем новый тред когда можно существующий заюзать. я так с проактивкой дрвеба делал в том году, сейчас хз палит ли.
sn0w, Много лет назад, когда все ядерные фильтры ав были совершенно дырявыми, drweb не использовал сервисную фильтрацию, а ставил стандартный OB-фильтр https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/content/wdm/nf-wdm-obregistercallbacks. Проще говоря он блокировал манипуляции с описателями, нп открытие процесса или референс на описателе. Да и не проактивка это, а файловый ав. Который не рабочий. На этом кстате строился его детект - читался сервисный фрейм, в младших версиях системы можно было снять км-бэктрейс. Даже был для этого реализован мотор, в нём включался сервисный лог, вызывалось множество тестовых сервисов, затем лог обрабатывался.
концепт который я задумал - я и не проверял. а что если один процесс мапит пейлоад а другой перехватывает и/или устанавливает контексты? ведь проактивный паттерн основан на последовательности действий одного процесса. и Инде, вы забываете, мы не из под LPE работаем, а с юзермодом.