- Регистрация
- 03.06.2012
- Сообщения
- 5 848
- Репутация
В этой теме список статей по разработки малвари.
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
Позже по мере накопления попробую оформить в виде pdf-книги.)
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
Дополнения:
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
ru-sfera.pw
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
Позже по мере накопления попробую оформить в виде pdf-книги.)
Зачем изучать разработку вредоносных программ ?
Посмотрев этот курс:Малварь как искусство - Курс по MalDev [PDF] Который стоит кстати около 300 баксов, понял что 80% описанного там есть здесь на форуме.) Да может что-то устарело и что-то тяжело найти тут, но в целом инфа видимо актуальная. Вот я и решил позаимствовать от туда темы, где-то...
ВАЖНО - Важная тема по созданию payload и shell code
В цикле статей этого раздела:Введение в разработку вредоносных программ мы все озабочены как скрыть полезную нагрузку, как обойти антивирус и т.д. Все говорят про какую-то полезную нагрузку, вредоносный код и т.д. Но никто не сказал, что-это вообще такое, где эту нагрузку можно взять, как её...
Уроки - Разработка малвари - 2. Изучаем инструменты
В предыдущей части мы затронули, зачем вообще разрабатывать вредоносное ПО, рассмотрели жизненный цикл такого ПО и немного затронули выбор языка разработки. Предыдущая часть тут: Зачем изучать разработку вредоносных программ ? Перед началом путешествия по разработке вредоносного программного...
Уроки - Разработка малвари - 3. Так какой-же язык выбрать !?
Вообще в сети много холиваров на это тему. Многие представители старой школы отказываются признавать новые технологии и считают разработку малвари, как низкоуровневую разработку, т.е. что-то там на уровне драйверов системы, какое-то аппаратное взаимодействие низкоуровневое, например работа с...
Уроки - Разработка малвари - 4. Шпаргалка по архитектуре винды
Архитектура любой ОС, очень сложная система, так наскоком не изучишь. Тут на форуме есть целый раздел:Системное программирование и разработка Но т.к. разработка малвари - Это системная разработка, какое-то понимание этой самой архитектуры нужно иметь, поэтому данная шпаргалка даст небольшое...
Уроки - Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье предлагаю рассмотреть создание динамических библиотек, в винде это всем наверное известные DLL.) И .exe, и .dll файлы считаются исполняемыми файлами, в формате PE, сам PE уже описан много где, нет не времени не желание описывать архитектуру, если интересно всё в сети есть и очень...
Уроки - Разработка малвари-6. Процессы Windows
В предыдущих версиях статей, было очень краткое ознакомление каких-то базовых вещей, без которых вообще проблематично вести разработку. Понятно что этого недостаточно, но какое-то направление может дать. Думаю это последняя статья, по теории и следующие статьи будут уже предметные, посвященные...
Уроки - Разработка малвари-7. Виды детектов
Введение Системы безопасности используют несколько техник для обнаружения вредоносного программного обеспечения. Важно понимать, какие методы системы безопасности используют для классификации ПО как вредоносное. Статическое по сигнатуре обнаружение Сигнатура - это ряд байтов или строк внутри...
Уроки - Разработка малвари-8. Куда класть нагрузку ?
В этой статье предлагаю поднять тему, куда и как класть нагрузку, он-же Payload. Разработчик вредоносного ПО имеет несколько вариантов того, где в файле PE можно хранить полезную нагрузку. В зависимости от выбора полезная нагрузка будет находиться в разных разделах файла PE. Полезные нагрузки...
Уроки - Разработка малвари-9. Шифруем Payload
В предыдущей статье мы рассмотрели где хранить полезную нагрузку (Payload), но как было сказано в коментарии к статье, для обхода детекта нужно много чего сделать, в частности нужно зашифровать Payload и ещё позаботится об антиэмуляции и скрытия поведения. В этой статье рассмотрим пока-что как...
Уроки - Разработка малвари-10. Обфускация Payload
В предыдущих статьях обсуждались вопросы размещения полезной нагрузки и её шифрование. Но как уже было замечено этого не достаточно для сбития детекта, необходимо обойти ещё детект по поведению и эмуляцию кода. С детектом по поведению немного сложнее, но детект по эмуляции кода можно обойти...
Уроки - Разработка малвари-11. Локальный запуск Payload
Предлагаю в этой статье исследовать использование динамических библиотек (DLL) в качестве полезной нагрузки и попробовать загрузить вредоносный файл DLL в текущем процессе. Создание DLL Создание DLL просто и может быть выполнено с помощью Visual Studio. Создайте новый проект, выберите язык...
Уроки - Разработка малвари-12. Иньекция в процесс
В этой статье предлагаю обсудить метод, аналогичный тому, что был показан ранее при локальной инъекции DLL, за исключением того, что теперь инъекция будет выполняться в удаленный процесс. Перечисление процессов Прежде чем можно будет инъецировать DLL в процесс, необходимо выбрать целевой...
Уроки - Разработка малвари-13.Инъекция шелл-кода в процесс
Эта статья похожа на предыдущую DLL Injection с небольшими изменениями. Инъекция shellcode в процесс будет использовать практически те же самые API Windows. VirtualAllocEx - выделение памяти. WriteProcessMemory - запись полезной нагрузки в удаленный процесс. VirtualProtectEx - изменение...
Уроки - Разработка малвари-14. Размещаем Payload удаленно на сервере
На протяжении всех статей до сих пор payload был постоянно хранящимся непосредственно внутри бинарного файла. Это быстрый и часто используемый метод для извлечения payload. К сожалению, в некоторых случаях, когда существуют ограничения по размеру payload, сохранение payload внутри кода не...
Уроки - Разработка вирусов-15. Прячем Payload в реестре
В общем из предыдущих уроков мы с вами знаем, что payload не обязательно должен храниться внутри вредоносной программы. Вместо этого payload может быть получен во время выполнения вредоносной программы. В этой статье будет показана похожая техника, только payload будет записан в качестве...
Уроки - Разработка вирусов-16.Разборка с цифровой подписью зверька
Когда пользователь пытается загрузить исполняемый файл из интернета, он часто подписан компанией как способ доказать пользователю, что это надежный исполняемый файл. Несмотря на то что системы безопасности все равно будут проверять исполняемый файл, на него была бы направлена дополнительная...
Уроки - Разработка вирусов-17.Изучаем технику Thread Hijacking
Thread Hijacking (Похищение потока) - это техника, позволяющая выполнять полезную нагрузку без создания нового потока. Этот метод работает путем приостановки потока и обновления регистра адреса команды, указывающего на следующую инструкцию в памяти, чтобы он указывал на начало полезной нагрузки...
Уроки - Разработка малвари-18.Определение PID нужного процесса, или перечисления процессов
Тема перечисления процессов затрагивалась здесь:Уроки - Разработка малвари-12. Иньекция в процесс Также в этой теме для проведения атаки Thread Hijacking в удаленный процесс необходимо получить ID целевого процесса. Давайте попробуем это сделать, что-бы не привлекать внимание антивирусов.)...
Уроки - Разработка вирусов-19.Изучаем технику APC Injection
Предлагаю в этой статье рассмотреть один способ выполнения полезной нагрузки без создания нового потока. Этот метод известен как APC-инъекция. Что такое APC? Асинхронные вызовы процедур (APC) — это механизм операционной системы Windows, который позволяет программам выполнять задачи асинхронно...
Уроки - Разработка вирусов-20.Вызов кода через функции обратного вызова
Введение Функции обратного вызова используются для обработки событий или выполнения действия, когда выполняется определенное условие. Они применяются в различных сценариях в операционной системе Windows, включая обработку событий, управление окнами и многопоточность. Определение функции...
Уроки - Разработка вирусов-21.Инъекция отображаемой памяти
Локальная инъекция отображаемой памяти Введение До сих пор во всех предыдущих реализациях использовался тип локальной памяти для хранения полезной нагрузки во время выполнения. Локальная память выделяется с использованием VirtualAlloc или VirtualAllocEx. На следующем изображении показана...
Уроки - Разработка вирусов-22.Изучаем технику Stomping Injection
Предыдущая статья показывала как запустить peyload и при этом избежать использования вызовов WinAPI VirtualAlloc/Ex. Этот-же урок демонстрирует другой метод, который избегает использования этих WinAPI. Термин "stomping" относится к действию перезаписи или замены памяти функции или другой...
Уроки - Разработка вирусов-23. Контроль выполнения полезной нагрузки
В реальных сценариях важно ограничивать действия, выполняемые вредоносным ПО, и концентрироваться на основных задачах. Чем больше действий выполняет вредоносное ПО, тем вероятнее, что его обнаружат системы мониторинга. Вот например такая ситуация, как в этом уроке, правилом хорошего тона перед...
Разработка вирусов-24. Изучаем технику Spoofing
Spoofing - В переводе подмена.) Рассмотрим несколько вариантов техники: Подмена номера родительского процесса (PPID) Это техника, используемая для изменения PPID процесса, что позволяет эффективно маскировать связь между дочерним процессом и его истинным родительским процессом. Это можно...
Уроки - Разработка вирусов-25. Скрытие строк
Хеширование - это техника, используемая для создания фиксированного представления куска данных, называемого хеш-значением или хеш-кодом. Хеш-алгоритмы разработаны как односторонние функции, что означает, что вычислительно невозможно определить исходные входные данные, используя хеш-значение...
Уроки - Разработка вирусов-26. Изучаем кунгфу-1. Скрытие таблицы импорта
Таблица импортных адресов (IAT) содержит информацию о файле PE, такую как используемые функции и DLL, экспортирующие их. Этот тип информации может быть использован для создания сигнатуры и обнаружения двоичного кода. Например, изображение ниже показывает таблицу импортных адресов примера...
Уроки - Разработка вирусов-27.Кунгфу-2.Изучаем API Hooking
Введение API Hooking — это техника, используемая для перехвата и изменения поведения функции API. Она часто используется для отладки, обратного проектирования и взлома игр. API Hooking позволяет заменять оригинальную реализацию функции API собственной версией, которая выполняет некоторые...
Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами
Что такое системные вызовы (Syscalls) Системные вызовы Windows или syscalls служат интерфейсом для взаимодействия программ с системой, позволяя им запрашивать определенные услуги, такие как чтение или запись в файл, создание нового процесса или выделение памяти. Помните из вводных модулей, что...
Уроки - Разработка вирусов-29. Предельная техника-2. Практика. Реализуем техники инъекции через сисколы
В прошлой статье:Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами мы разобрали теорию. Давайте теперь переделаем техники: https://ru-sfera.pw/threads/razrabotka-virusov-17-izuchaem-texniku-thread-hijacking.4449/...
Дополнения:
ВАЖНО - Огромная база исходников современных вирусов для разных платформ
Весь исходный код, который упакован, может быть или не быть установлен с паролем 'infected' (без кавычек). Отдельные файлы, вероятно, не упакованы. Структура каталогов: Android Generic Android OS malware, some leaks and proof-of-concepts Engines BAT Linux VBS Win32 Java Some java...
Уроки - Как я RootKit загружал или же как загрузить драйвер без подписи
Для начала давайте разберемся что такое RootKit? Для того что бы RootKit смог запуститься на пк жертвы, есть 2 варианта: Заплатить от 150$ за подпись драйвера Использовать маппер который с помощью уязвимого драйвера (на котором уже есть подпись) загрузит ваш RootKit. Первый вариант нам не...
Проверка возможностей ChatGPT
Привет мир! Я тут недавно вернулся из очень длительного отпуска, дабы снова сделать что-нибудь интересное или весёлое. Собственно, начнём как всегда. Отдыхай!!! Не забывайте, что я всё это проделал лишь ради интереса и в целях обучения!!! Недавно мне стало скучно, а потому я закупил за 600...
Джейлбрейкинг ChatGPT
Здравия! Я уже писал тему насчёт джейлбрейкинга ChatGPT, однако нашёл много очень интересных способов это сделать. Покажу парочку примеров. Сейчас мы заставим ChatGPT: Рассказать нам как правильно готовить огромное количество взрывчатки. Дать нам мануал по синтезу метамфетамина. Показать...
Малварь как искусство - Обход AMSI
Очень познавательная статья с Хакера:О6фy$kация. Обходим детект вредоносных макросов Word И это ответ тем, кто считает что скриптами нельзя делать низкоуровневые вещи, можно всё при должном умении и знании...) Казалось бы, макровирусы давно и безвозвратно ушли в прошлое. Уж что‑что, а...
Руткиты и буткиты:Исследование и изучение
Переводы статей по руткитам и буткитам, а также авторские статьи.
Последнее редактирование:
