Скрытие модуля.

Тема в разделе "WASM.RESEARCH", создана пользователем Indy_, 2 янв 2017.

  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Семпл. Используется изменение выборки данных, таким образом локально модуль существует, удалённо(для ядра или другого процесса - нет). Скрытие описателя в загрузочной базе(не удаление из памяти).

    https://yadi.sk/d/aK1r0ajK36X58R vx
     
    Fail, sato, rococo795 и ещё 1-му нравится это.
  2. rococo795

    rococo795 Active Member

    Публикаций:
    0
    Регистрация:
    1 дек 2016
    Сообщения:
    236
    Спасибо...
     
  3. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    301
    Под модулем подразумевается dll? (сори за глупый вопрос)
     
  4. RET

    RET Well-Known Member

    Публикаций:
    17
    Регистрация:
    5 янв 2008
    Сообщения:
    789
    Адрес:
    Jabber: darksys@sj.ms
    вообще это натив обычный из ntdll
     
  5. Fail

    Fail Active Member

    Публикаций:
    0
    Регистрация:
    14 мар 2012
    Сообщения:
    503
    Indy_, было бы очень круто сопровождать семплы минимальным тех. описанием.
     
  6. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Fail,

    > сопровождать семплы минимальным тех. описанием.

    Посмотрите публикации.
     
    RET и Fail нравится это.
  7. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Indy_, а как оно называлось, не помните? Вот эти сорцы. Мб они у меня и есть, но что-то не помню.
     
  8. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Могу поискать, но какая разница ты всё равно такое не реализуешь.
     
    galenkane нравится это.
  9. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    301
    интересно тоже посмотреть
     
  10. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Нашёл это. пасс vx. Это старые семплы; за пару последних лет всё очень изменилось, техники само понимание.
     

    Вложения:

    • LDRHIDE.rar
      Размер файла:
      27,3 КБ
      Просмотров:
      353
  11. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    TrashGen,

    Это старый семпл, новых тоже много было. Вообще могу выкачать всё сюда. Но не уверен что это нужно сделать из за некоторых людей.
     
  12. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Indy_, какой именно модуль скрывается, не пойму? Вот запустил я T.exe , и что? В списке модулей есть и он сам , и те 3 дллки.
    --- Сообщение объединено, 20 авг 2020 ---
    запускал на ХР.
     

    Вложения:

    • Indy.PNG
      Indy.PNG
      Размер файла:
      8 КБ
      Просмотров:
      290
  13. galenkane

    galenkane Active Member

    Публикаций:
    0
    Регистрация:
    13 янв 2017
    Сообщения:
    301
    такие вопросы должны сразу отсекаться после просмотра .asm файлов
     
    Indy_ нравится это.
  14. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    Наверно нужно собрать для начала, а не запускать POC который не понимаешь.
     
  15. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Indy_, зачем тогда тот РоС лежит?

    galenkane, а можно по сути получить ответ ? Асм файлы я читал.
     
  16. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    M0rg0t,

    Если не смог собрать то чего жаловаться ?

    На сколько помню это было совместимо с загрузчиком из памяти(lwe). Скажешь он тоже не рабочий потому что ты не смог заюзать ?

    Отладить это конечно вы не сможите.
     
  17. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Так а почему нельзя помочь человеку разобраться? Ты же потратил время, чтобы написать о том, чего Моргот там не осилил, почему не написать столько же слов, но тех, которые ему помогут, а не унизят его? Откуда это желание самоутверждаться засчет того, что ты знаешь что-то, чего другой человек не знает?
     
    M0rg0t нравится это.
  18. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Rel,

    Это не самоутврждение, это на столько надоевшие темы, всё давно тысячи раз тут подробно разобрано. Что бы у меня был мотив вначале тот кому интересно должен задать вопрос. Пойми что это всё основано на том же дий теже техники я огромное время на это потратил и какой то вопрос ниочём по какому то семплу для меня это полный треш мне нечего ответить. Не потому что не могу, я знаю как это всё работает, а потому что человек если интересует то должен спросить, если сам разобраться не может.
     
  19. M0rg0t

    M0rg0t Well-Known Member

    Публикаций:
    0
    Регистрация:
    18 окт 2010
    Сообщения:
    1.576
    Причем тут собрать, я хотел затестить уже имеющийся РоС. Запускаю - все модули в памяти видны. Вот и хочу понять, что оно должно делать, какой именно модуль и как скрывать? От чего скрывать.
    почему нельзя сделать внятный ридми, ну реально, сколько лет смотрю эти движки, постоянно угадывание и магия.
     
  20. Rel

    Rel Well-Known Member

    Публикаций:
    2
    Регистрация:
    11 дек 2008
    Сообщения:
    5.323
    Ну так он спросил, после чего ты его покрыл гуано, вместо того чтобы объяснить, что за POC и как это должно работать.