Суть проста, ищем уже добавленные файлы в автозагрузку, и случайный из них заменяем собой.
Код реализован на C#. И конечно же требует доработок.
Что скажете?
Код реализован на C#. И конечно же требует доработок.
Что скажете?
Решено Маскируем вирус за 5 минут или как скрыть exe из автозагрузки [.NET C#].
- Автор темы Egolds
- Дата начала
допустим ты подменил оригинальный хром. юзаер запускет ярлык по хрому- ниче не происходит. максимум сутки жить такой маскировке.
Плохой способ.
Почему ничего не происходит? ведь там есть запуск оригинального файла (хрома) и всё, хром запустился, а вирус уже подменил другой файл.
А что мешает запустить в основном потоке свой код, а в дополнительном ту программу, которую ты заменил?
Для примера рассмотрим тот же хром:
Для примера рассмотрим тот же хром:
- Копируем/переименовываем оригинальный хром
- Вместо оригинального хрома сохраняем свой exe'шник
- При запуске своего exe'шника из автозагрузки, запускаем оригинальный хром в отдельном потоке (или отдельным процессом)
- А в основном потоке выполняем свой exe'шник
а как быть с тем, что у оригинального файла (хрома) уже будет другое имя процесса? и он там сам себя запускает на каждую новую вкладку?
это слишком мудренно уже как-то. ради автозагрузки я бы так замораживаться не стал.
Из стоящего нашел инжект dotnet'овских dll, и то сам инжект и вызов реализован на c++.
И поковырялся в коде, можно инжектить свой dotnet код уже в запущенный процесс, приложение которого также dotnet, а не нативное.
И ещё разве что редактировать с помощью класса Assembly, исходный код чужого приложения, добавляя в него свой код, но также это не сработает с нативным приложением.
Если можно более конкретную ссылку, потому что в гугл посылать с банальным запросом я тоже умею.
Вот поэтому и используют С++ для таких дел. Рекомендую обратить внимание в сторону С++.
В теории можно и на С# такое сделать, принцип одинаков. Могу где-то ошибиться, но нужно делать так:
1) При запуске наш инжектор копирует наш exe'шник куда-нибудь и запоминает путь
2) Инжектор хранит в себе в виде шелл-кода код, который запустит в отдельном процессе наш exe'шник по сохранённому пути
3) Затем инжектор находит в хроме (например) место, куда можно внедрить наш шелл-код и внедряет его
4) В точке входа хрома заменяем оригинальные asm-инструкции на jump к началу нашего шелл-кода
5) Оригинальные инструкции сохраняем и дописываем после нашего шелл-кода
6) После дописываем jump на asm-инструкцию, которая идёт сразу за jump на наш шелл-код в точке входа
Это уже не инжект, а патчинг получается. Рекомендую погуглить об этом тоже.
Итого, что получается: при запуске хрома, будет выполнен переход на наш шелл-код, который запустит в отдельном процессе наш exe'шник, а затем будет выполнен переход обратно на код хрома.
Здесь следует так же учитывать пару моментов:
1) При патчинге, самое главное - не повредить файл, который патчим, не нарушить его целостность
2) АВ на такую активность может среагировать
В теории можно и на С# такое сделать, принцип одинаков. Могу где-то ошибиться, но нужно делать так:
1) При запуске наш инжектор копирует наш exe'шник куда-нибудь и запоминает путь
2) Инжектор хранит в себе в виде шелл-кода код, который запустит в отдельном процессе наш exe'шник по сохранённому пути
3) Затем инжектор находит в хроме (например) место, куда можно внедрить наш шелл-код и внедряет его
4) В точке входа хрома заменяем оригинальные asm-инструкции на jump к началу нашего шелл-кода
5) Оригинальные инструкции сохраняем и дописываем после нашего шелл-кода
6) После дописываем jump на asm-инструкцию, которая идёт сразу за jump на наш шелл-код в точке входа
Это уже не инжект, а патчинг получается. Рекомендую погуглить об этом тоже.
Итого, что получается: при запуске хрома, будет выполнен переход на наш шелл-код, который запустит в отдельном процессе наш exe'шник, а затем будет выполнен переход обратно на код хрома.
Здесь следует так же учитывать пару моментов:
1) При патчинге, самое главное - не повредить файл, который патчим, не нарушить его целостность
2) АВ на такую активность может среагировать
Последнее редактирование:
Пару лет (10+ лол) назад был способ через NtCreateRegistryKey (вроде так называется не помню точно) функцию, создать параметр в реестре с терминальным нулем в начале и таким образом его не было видно в редакторее реестра и в диспетчере задач, работал (и должен работать на <7) и вроде работал на 10 (не проверял), смысл в том что в обычной функции RegCreateKeyEx есть валидация аргумента с именем ключа, а NtCreateRegistryKey его нет. (только минус будет сообщение об ошибке при открытии раздела в редакторе реестра)
Ссылка скрыта от гостей
Обучение наступательной кибербезопасности в игровой форме. Начать игру!