Windows Malware Development

[H4x0r007]

Auf .net 2.0 aufzusetzen ist sicher keine schlechte Idee. Auf der anderen Seite ist es auch völlig ausreichend, wenn die Software ab Windows 7 läuft. Alles andere hat sowieso einen vernachlässigbar kleinen Marktanteil.
Ich hatte so eine Antwort schon erwartet. Es ist einfach zu schmerzhaft, heute noch die WinAPI zu verwenden.

[wacked]

Naja was soll deine Malware denn können? Falls du irgendwas in einem anderen Prozess machen willst brauchst du nativen Code. Falls du hooken willst brauchst du nativen Code. Falls du exploits ausnutzen musst brauchst du wahrscheinlich nativen code (also nicht nur für den shellcode sondern auch für die pointer aritmetik vorher)

Lassen sich .net Executables ähnlich gut crypten bzw. obfuscaten wie native Binaries?

Da muss man irgendwas extra machen, aber was weiß ich nicht.

[ChEeTaH182]

Da muss man irgendwas extra machen, aber was weiß ich nicht.

Damit man .NET dlls in einem Nativen Host (Prozess) ausführen kann (=Crypter payload)muss man zuerst den CLRHost laden, welcher für die Interpretierung des MSIL codes zuständig ist (Wie bei Java die JVM). Ist aber kein großes Ding und funktioniert einwandfrei: https://github.com/sunsided/native-d...code-injection

Was hier im Prinzip gemacht wird:
1. eine native (Bootstrap) DLL wird injected, welche die .NET Runtime im Hostprozess lädt
2. die managed DLL wird injected und die Main() Methode aufgerufen (.NET dlls haben keine call Events wie native dlls, deswegen muss die ausführung händisch angestoßen werden)
3. Bootstrap DLL wird wieder entfernt

[H4x0r007]

Sorry, ich hatte den Thread hier ganz vergessen.

Naja was soll deine Malware denn können? Falls du irgendwas in einem anderen Prozess machen willst brauchst du nativen Code. Falls du hooken willst brauchst du nativen Code. Falls du exploits ausnutzen musst brauchst du wahrscheinlich nativen code (also nicht nur für den shellcode sondern auch für die pointer aritmetik vorher)

Ich hatte bisher noch keine konkreten Vorstellungen. Es ging erst mal nur darum, ob es sich noch lohnt, rein auf die WinAPI zu setzen.
Pointerarithmetik und andere Dinge in reinem C sind kein Problem - ich finde nur die Winapi so schmerzhaft. Da .net in irgendeiner Form auf jedem modernen Windows vertreten sein dürfte, werde ich mir mal C# anschauen, bzw. mich überhaupt mal mit der .net-Welt befassen.

Danke soweit für die Antworten.