Sylon 64x hidden and dangerous - User mode Resident

Добро пожаловать! хакерский форум к вашим услугам!
У нас вы найдёте всё что вам нужно, вам необходимо только войти в систему.
Войти...

DARKS

Пользователь
112
15
18
#1
; Resident Sylon - AV Bypass !
; By DARKS
; учебный virus + syscall finder + dissasambler
; macros by ZOMIBE
; Find func. from book Asm for windows
; No infect function!! do it!
; -------------------------------------------------------------------------------------
; * First test showing nice results take care with inf. count 30!
; * Do IsWow64Process and checks payload for connection if not jmp and inf. more.
; * Where is x_stosd will be free space for morph , trash or protection for circle.
; * check. if is admin block, if not change dir to prog. files
; * Add file infect block
; * Make optimization.
 

Вложения

  • 15.9 KB Просмотры: 2

DARKS

Пользователь
112
15
18
#3
Aлгоритм поиска нужного syscall.
находим Nt функцию, проходимся встроенными дизассемблером,
уxукаем syscall, вызываем, функция хука получает sysc-num,
восстанавливает все назад, все.
 

DARKS

Пользователь
112
15
18
#4
цепная реакция должна докопаться до системного процесса
с привилегиями system и по идеи все заразить, но для этого
нужны привилегии админа если этого не произойдет остается
Резик так как есть.
 

DARKS

Пользователь
112
15
18
#5
Вирус был написан чтобы доказать самому себе что это возможно,
походу его написания был написан disassembler, syscall finder,
пришлось столкнуться с разными проблемами и научиться офигительным фишкам.
Потом я подключил к нему морфик и в принципе научился как его делать.
Cледует почитать зомби как разбивать инструкции в список.
От себя лишь добавлю после того как это произойдет в списке будут инструкции
такие как jmp, jnz, call из них следует сделать тоже список для метаморфикa,
"дело в том что метаморфик будет вписывать новые инструкции и сдвигатъ другие, этот новый список
должен быть упорядочен по адресам" и только тогда разрабатывать сам алгоритм метаморфикa.

спасибо за внимание
 

DARKS

Пользователь
112
15
18
#6
Пара слов о защите кода.
Чтобы уберечь код от всяких конченых антивирусных контор было предложено оставлять
свободное место в теле вируса для внедрения защи́тных миханизмов.
Допустим x_stosd macro, после того как он сделает свое дело он дает нам достаточно места
для криптора, мусорa или какой нибудь ловушки для каждого цикла заражения.
Предполагается использовать случайные крипторы маленьких размеров а уж потом проходится по ним метаморфом, к тому же мне кажется если перед каждым блоком остается достаточно места можно избежать много всякого мозго/ства со сдвигами.​
 

DARKS

Пользователь
112
15
18
#7
Вот еще чего, прежде чем начать делать все вышесказанное было бы неплохо подумать разбросать по освободившемуся месту аргументы callов в случайном порядке и разбавленными мусором.
; Cоздать поток
and qword ptr [rsp+8*5],0 ; 6 сюда дескриптор потока
and qword ptr [rsp+32], 0 ; 5
xor r9, r9 ; 4 адрес процедуры
lea r8, IniThread ; 3
xor edx, edx ; 2
xor ecx, ecx ; 1
call qword ptr @_CreateThread
--------------------------------------------------------------------------------------------
lea r8, IniThread ; 3
мусор
and qword ptr [rsp+32], 0 ; 5
мусор
xor edx, edx ; 2
мусор
xor ecx, ecx ; 1
мусор
and qword ptr [rsp+8*5],0 ; 6 сюда дескриптор потока
мусор
xor r9, r9 ; 4 адрес процедуры
call qword ptr @_CreateThread