This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!
Всем привет. Назрел вопрос - как отработать SEH в самостоятельно смаппленном 32-битном PE-файле?
Сейчас известно, что студийным компилятором добавляется директория IMAGE_LOAD_CONFIG_DIRECTORY в PE-файл, которая содержит в себе поля SEHandlerTable и SEHandlerCount, которые соответственно являются...
Ну тут дело в том, что это достаточно замороченный способ, много шагов как на этапе скрытия, так и на этапе извлечения пейлоада, поэтому он не популярен, но как упомянул выше KernelMode - при правильной реализации можно добиться стабильного FUD
Но конкретно реализации "Что бы использовать пейлоад надо будет найти его в ресурсах, достать как картинку, распарсить заголовок bmp и извлечь тело картинки, тело расшифровать и разжать, и потом уже использовать пейлоад в памяти. Это достаточно краткая, но емкая инструкция, далее только...
детектов меньше по сравнению с предложенным способом не станет.
fadey_ldr
предложил хороший способ - при ПРАВИЛЬНОЙ реазизации будет ФУД даже при скане EDR
Всем привет!
Я совсем недавно в теме малвари, так что не знаю многих мелочей. Сейчас меня мучает один вопрос - как и где люди(предпочтительнее те, кто криптуют, скрывают ну или просто создают малварь) размещают полезную нагрузку(в моем случае - шеллкод) в компилируемом файле? Я знаю о...