Сокрытие Reverse TCP shellcode в PE-файле | Часть 1
Приветствую, обыватель CODEBY.NET. Предположим, что во время проведения тестирования на проникновение вам понадобилось получить доступ к определённому устройству исследуемой организации. На этом этапе, вы можете создать PE-файл бэкдор с помощью собственного шелл-кода, без увеличения размера исполняемого файла или изменения его предполагаемой функциональности. Как это можно реализовать и при этом не привлечь внимание антивирусов? О способе доставки и писать нечего.
📌 Читать статью
#shell #network #pe
Приветствую, обыватель CODEBY.NET. Предположим, что во время проведения тестирования на проникновение вам понадобилось получить доступ к определённому устройству исследуемой организации. На этом этапе, вы можете создать PE-файл бэкдор с помощью собственного шелл-кода, без увеличения размера исполняемого файла или изменения его предполагаемой функциональности. Как это можно реализовать и при этом не привлечь внимание антивирусов? О способе доставки и писать нечего.
📌 Читать статью
#shell #network #pe
👍17👎2
ASM – Тёмная сторона РЕ-файла
Исполняемым файлом в системах класса Win является "Рortable-Еxecutable", или просто РЕ. Инженеры Microsoft потрудились на славу, чтобы предоставить нам спецификацию на него, однако некоторые "тузы в рукавах" они всё-таки припрятали. В данной статье рассматривается недокументированная часть РЕ-файла, ознакомившись с которой можно будет собирать информацию о процессе создания файлов компилятором. Антивирусные компании уже давно практикуют эту фишку своих сканерах, а для широкого круга общественности её так и не предали огласке.
📌 Читать далее
#asm #pe
Исполняемым файлом в системах класса Win является "Рortable-Еxecutable", или просто РЕ. Инженеры Microsoft потрудились на славу, чтобы предоставить нам спецификацию на него, однако некоторые "тузы в рукавах" они всё-таки припрятали. В данной статье рассматривается недокументированная часть РЕ-файла, ознакомившись с которой можно будет собирать информацию о процессе создания файлов компилятором. Антивирусные компании уже давно практикуют эту фишку своих сканерах, а для широкого круга общественности её так и не предали огласке.
📌 Читать далее
#asm #pe
👍14😢1
Сокрытие Reverse TCP shellcode в PE-файле | Часть 2
Приветствую, обыватель CODEBY.NET Иноязычное описание данного метода является достаточно большим. В связи с этим, я решил разделить его на 2, более мелкие части. Приятного ознакомления со 2 частью. На данный момент мы создали новый раздел заголовка, поместили в него наш шелл-код, перехватили поток выполнения и при этом достигли нормальной работы приложения. В этой части мы объединим два метода для сокрытия бэкдора от AV и постараемся устранить недостатки метода секции сумматора, описанного выше.
📌 Читать далее
#shell #network #pe
Приветствую, обыватель CODEBY.NET Иноязычное описание данного метода является достаточно большим. В связи с этим, я решил разделить его на 2, более мелкие части. Приятного ознакомления со 2 частью. На данный момент мы создали новый раздел заголовка, поместили в него наш шелл-код, перехватили поток выполнения и при этом достигли нормальной работы приложения. В этой части мы объединим два метода для сокрытия бэкдора от AV и постараемся устранить недостатки метода секции сумматора, описанного выше.
📌 Читать далее
#shell #network #pe
👍13🔥7
ASM – Тёмная сторона РЕ-файла
Исполняемым файлом в системах класса Win является "Рortable-Еxecutable", или просто РЕ. Инженеры Microsoft потрудились на славу, чтобы предоставить нам спецификацию на него, однако некоторые "тузы в рукавах" они всё-таки припрятали. В данной статье рассматривается недокументированная часть РЕ-файла, ознакомившись с которой можно будет собирать информацию о процессе создания файлов компилятором. Антивирусные компании уже давно практикуют эту фишку своих сканерах, а для широкого круга общественности её так и не предали огласке.
📌 Читать далее
#asm #pe
Исполняемым файлом в системах класса Win является "Рortable-Еxecutable", или просто РЕ. Инженеры Microsoft потрудились на славу, чтобы предоставить нам спецификацию на него, однако некоторые "тузы в рукавах" они всё-таки припрятали. В данной статье рассматривается недокументированная часть РЕ-файла, ознакомившись с которой можно будет собирать информацию о процессе создания файлов компилятором. Антивирусные компании уже давно практикуют эту фишку своих сканерах, а для широкого круга общественности её так и не предали огласке.
📌 Читать далее
#asm #pe
🔥11👍3
Трюки с таблицей импорта РЕ-файла 🖱
Сегодня мы разберем техники манипуляций с таблицей импорта в PE-файлах. Эта статья для тех, кто хочет на практике понять, как работают исполняемые файлы и как можно использовать это знание для защиты своего кода от анализа.🛡
✔️ Общее положение дел с импортом: Изучим основы анализа исполняемых файлов, особенно в контексте импорта API из системных DLL. Посмотрим, как различные инструменты и процессы взаимодействуют с файлами на диске и в памяти, и как это влияет на анализ.
✔️ Импорт API по ординалу: Разберемся, как использовать порядковые номера (ординалы) для импорта функций, что позволяет скрыть использованные функции от инструментов анализа. Узнаем, как это работает и какие ловушки ждут нас на этом пути.
✔️ Ошибки в реализации дескрипторов импорта: Исследуем возможности манипуляции с таблицей импорта, включая удаление и замену записей, чтобы сделать анализ файла еще более сложным для инструментов анализа.
📌 Читать подробнее
#pe_file #ordinal #iat
Сегодня мы разберем техники манипуляций с таблицей импорта в PE-файлах. Эта статья для тех, кто хочет на практике понять, как работают исполняемые файлы и как можно использовать это знание для защиты своего кода от анализа.
#pe_file #ordinal #iat
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16
Финал цикла о PE-файлах! 🖥
В этой статье разбираем технику форвардинга в DLL — интересный и малозаметный способ перенаправления вызовов API.
🌟 Поговорим о классических примерах, где старые библиотеки перенаправляют вызовы на новые, более защищённые версии, например, как это делает Wsock32.dll.
🌟 Узнаем, как форвардинг можно использовать в атаках, создавая поддельные DLL, чтобы перенаправить управление на вредоносный код, и что с этим можно сделать.
🌟 Расскажем, как правильно импортировать библиотеки, на что стоит обратить внимание в вашем коде, чтобы не дать злоумышленникам шанса. 🙂
В практической части:
🙂 Рассмотрим, как создать собственную Proxy-DLL
🙂 Попробуем реализовать форвардинг прямо в EXE
🙂 Узнаем, как подобные трюки могут вводить в заблуждение дизассемблеры и средства статического анализа. Запутать следы? Легко!
➡️ Читать подробнее
#asm #Pentest #pe_file
В этой статье разбираем технику форвардинга в DLL — интересный и малозаметный способ перенаправления вызовов API.
🔗 Зачем это нужно? Какие плюсы и минусы? А главное — как с этим связаны злоумышленники и их атаки на загрузку динамических библиотек?
В практической части:
#asm #Pentest #pe_file
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍8😁3🥰2❤1