Seite 2 von 2 ErsteErste 12
Ergebnis 11 bis 13 von 13
  1. #11
    Anfänger
    Registriert seit
    24.05.2015
    Beiträge
    5

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Ja aber bei den anderen 7 AVs von denen es detected wird nur mit Payload.

  2. #12
    Transpinguin Avatar von IRET
    Registriert seit
    02.09.2008
    Beiträge
    1.295

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Zitat Zitat von 0ilZ Beitrag anzeigen
    Ja aber bei den anderen 7 AVs von denen es detected wird nur mit Payload.
    Ich würde erstmals die Dropper-Detection behandeln. Die ist halt sehr generell und kann von vielen Sachen kommen (u.A. auch zu große Ressourcen, aber auch von RunPEs usw). Leider beantwortest du essentielle Fragen nicht, wie ob du eine eigene RunPE verwendest und somit sind Fragen wie ob du "API-Encryption" verwendest, welche Calls du verwendest, welche Encryption du verwendest, usw. auch eher sinnlos.

    Bei der Speichermethode kannst du auf die Sections zugreifen. Natürlich geht es mit .data, allerdings wird das höchstwahrscheinlich auch eine Detection auslösen. Du könntest den Payload aber in die Code-Section einfügen (PE-Header nachträglich ändern). Auch kannst du deine RunPE zu Shellcode umschreiben. Wenn in der IAT "LoadLibrary" und "GetProcAddr" steht, führt das auch öfters zur Dropper-Detection. Praktisch hierbei wäre, dass du deine RunPE dann komplett verschlüsseln könntest und diese dann einfach an Ort und Stelle entschlüsseln und direkt aufrufen. Sollte es am Ende dann tatsächlich nach all den Versuchen am Payload scheitern, kannst du dieses auch in der .code-Section speichern und mittels push auf den Stack schieben (und dann die RunPE aufrufen). Eine Weiterentwicklung davon wäre dass du dann zu den Pushes verschiedene Jumps einfügst und ein wenig Trashcode (nur Berechnungen). Das würde dein Payload allerdings auf das 2- bis 4-fache aufblasen.

  3. #13
    Anfänger
    Registriert seit
    24.05.2015
    Beiträge
    5

    Standard AW: Builder coden, Techniken Payload an Stub zu binden

    Danke, werde versuchen einige deiner Vorschläge umzusetzen.

Seite 2 von 2 ErsteErste 12

Ähnliche Themen

  1. Bot coden - einfach nur binary statt builder?
    Von whory im Forum Sonstige Programmiersprachen
    Antworten: 15
    Letzter Beitrag: 13.12.2010, 15:21
  2. [C] Builder/Stub
    Von GregorSamsa im Forum Sourcecodes
    Antworten: 2
    Letzter Beitrag: 04.04.2010, 20:18
  3. [S] Builder coden ohne ExeMod
    Von Z4ppy im Forum Delphi
    Antworten: 8
    Letzter Beitrag: 15.03.2009, 16:33
  4. [C#] Builder coden
    Von Pinörkelchen im Forum .NET Sprachen - Techniken
    Antworten: 2
    Letzter Beitrag: 30.01.2008, 13:24
  5. Builder coden
    Von rob00n im Forum C, C++
    Antworten: 4
    Letzter Beitrag: 27.06.2007, 17:15

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
crypt.blue