Скрытие модуля.

Семпл. Используется изменение выборки данных, таким образом локально модуль существует, удалённо(для ядра или другого процесса - нет). Скрытие описателя в загрузочной базе(не удаление из памяти).

https://yadi.sk/d/aK1r0ajK36X58R vx

 

Спасибо...

 

Под модулем подразумевается dll? (сори за глупый вопрос)

 

вообще это натив обычный из ntdll

 

Indy_, было бы очень круто сопровождать семплы минимальным тех. описанием.

 

Fail,

> сопровождать семплы минимальным тех. описанием.

Посмотрите публикации.

 

Indy_, а как оно называлось, не помните? Вот эти сорцы. Мб они у меня и есть, но что-то не помню.

 

Могу поискать, но какая разница ты всё равно такое не реализуешь.

 

интересно тоже посмотреть

 

Нашёл это. пасс vx. Это старые семплы; за пару последних лет всё очень изменилось, техники само понимание.

 

TrashGen,

Это старый семпл, новых тоже много было. Вообще могу выкачать всё сюда. Но не уверен что это нужно сделать из за некоторых людей.

 

Indy_, какой именно модуль скрывается, не пойму? Вот запустил я T.exe , и что? В списке модулей есть и он сам , и те 3 дллки.

--- Сообщение объединено, Aug 20, 2020 ---

запускал на ХР.

 

такие вопросы должны сразу отсекаться после просмотра .asm файлов

 

M0rg0t,

Наверно нужно собрать для начала, а не запускать POC который не понимаешь.

 

Indy_, зачем тогда тот РоС лежит?

galenkane, а можно по сути получить ответ ? Асм файлы я читал.

 

M0rg0t,

Если не смог собрать то чего жаловаться ?

На сколько помню это было совместимо с загрузчиком из памяти(lwe). Скажешь он тоже не рабочий потому что ты не смог заюзать ?

Отладить это конечно вы не сможите.

 

Так а почему нельзя помочь человеку разобраться? Ты же потратил время, чтобы написать о том, чего Моргот там не осилил, почему не написать столько же слов, но тех, которые ему помогут, а не унизят его? Откуда это желание самоутверждаться засчет того, что ты знаешь что-то, чего другой человек не знает?

 

Rel,

Это не самоутврждение, это на столько надоевшие темы, всё давно тысячи раз тут подробно разобрано. Что бы у меня был мотив вначале тот кому интересно должен задать вопрос. Пойми что это всё основано на том же дий теже техники я огромное время на это потратил и какой то вопрос ниочём по какому то семплу для меня это полный треш мне нечего ответить. Не потому что не могу, я знаю как это всё работает, а потому что человек если интересует то должен спросить, если сам разобраться не может.

 

Причем тут собрать, я хотел затестить уже имеющийся РоС. Запускаю - все модули в памяти видны. Вот и хочу понять, что оно должно делать, какой именно модуль и как скрывать? От чего скрывать.
почему нельзя сделать внятный ридми, ну реально, сколько лет смотрю эти движки, постоянно угадывание и магия.

 

Ну так он спросил, после чего ты его покрыл гуано, вместо того чтобы объяснить, что за POC и как это должно работать.