В этой теме список статей по разработки малвари.
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
Дополнения:
Т.к. статьи в виде обучающего цикла, решил сделать обновляемую тему со списком всех статей, если вы новичок то рекомендуется читать статьи в том порядке, как они здесь.
Зачем изучать разработку вредоносных программ ?
Посмотрев этот курс:Малварь как искусство - Курс по MalDev [PDF] Который стоит кстати около 300 баксов, понял что 80% описанного там есть здесь на форуме.) Да может что-то устарело и что-то тяжело найти тут, но в целом инфа видимо актуальная. Вот я и решил позаимствовать от туда темы, где-то...
ru-sfera.pw
ВАЖНО - Важная тема по созданию payload и shell code
В цикле статей этого раздела:Введение в разработку вредоносных программ мы все озабочены как скрыть полезную нагрузку, как обойти антивирус и т.д. Все говорят про какую-то полезную нагрузку, вредоносный код и т.д. Но никто не сказал, что-это вообще такое, где эту нагрузку можно взять, как её...
ru-sfera.pw
Уроки - Разработка малвари - 2. Изучаем инструменты
В предыдущей части мы затронули, зачем вообще разрабатывать вредоносное ПО, рассмотрели жизненный цикл такого ПО и немного затронули выбор языка разработки. Предыдущая часть тут: Зачем изучать разработку вредоносных программ ? Перед началом путешествия по разработке вредоносного программного...
ru-sfera.pw
Уроки - Разработка малвари - 3. Так какой-же язык выбрать !?
Вообще в сети много холиваров на это тему. Многие представители старой школы отказываются признавать новые технологии и считают разработку малвари, как низкоуровневую разработку, т.е. что-то там на уровне драйверов системы, какое-то аппаратное взаимодействие низкоуровневое, например работа с...
ru-sfera.pw
Уроки - Разработка малвари - 4. Шпаргалка по архитектуре винды
Архитектура любой ОС, очень сложная система, так наскоком не изучишь. Тут на форуме есть целый раздел:Системное программирование и разработка Но т.к. разработка малвари - Это системная разработка, какое-то понимание этой самой архитектуры нужно иметь, поэтому данная шпаргалка даст небольшое...
ru-sfera.pw
Уроки - Разработка малвари - 5. Изучаем динамические библиотеки
В этой статье предлагаю рассмотреть создание динамических библиотек, в винде это всем наверное известные DLL.) И .exe, и .dll файлы считаются исполняемыми файлами, в формате PE, сам PE уже описан много где, нет не времени не желание описывать архитектуру, если интересно всё в сети есть и очень...
ru-sfera.pw
Уроки - Разработка малвари-6. Процессы Windows
В предыдущих версиях статей, было очень краткое ознакомление каких-то базовых вещей, без которых вообще проблематично вести разработку. Понятно что этого недостаточно, но какое-то направление может дать. Думаю это последняя статья, по теории и следующие статьи будут уже предметные, посвященные...
ru-sfera.pw
Уроки - Разработка малвари-7. Виды детектов
Введение Системы безопасности используют несколько техник для обнаружения вредоносного программного обеспечения. Важно понимать, какие методы системы безопасности используют для классификации ПО как вредоносное. Статическое по сигнатуре обнаружение Сигнатура - это ряд байтов или строк внутри...
ru-sfera.pw
Уроки - Разработка малвари-8. Куда класть нагрузку ?
В этой статье предлагаю поднять тему, куда и как класть нагрузку, он-же Payload. Разработчик вредоносного ПО имеет несколько вариантов того, где в файле PE можно хранить полезную нагрузку. В зависимости от выбора полезная нагрузка будет находиться в разных разделах файла PE. Полезные нагрузки...
ru-sfera.pw
Уроки - Разработка малвари-9. Шифруем Payload
В предыдущей статье мы рассмотрели где хранить полезную нагрузку (Payload), но как было сказано в коментарии к статье, для обхода детекта нужно много чего сделать, в частности нужно зашифровать Payload и ещё позаботится об антиэмуляции и скрытия поведения. В этой статье рассмотрим пока-что как...
ru-sfera.pw
Уроки - Разработка малвари-10. Обфускация Payload
В предыдущих статьях обсуждались вопросы размещения полезной нагрузки и её шифрование. Но как уже было замечено этого не достаточно для сбития детекта, необходимо обойти ещё детект по поведению и эмуляцию кода. С детектом по поведению немного сложнее, но детект по эмуляции кода можно обойти...
ru-sfera.pw
Уроки - Разработка малвари-11. Локальный запуск Payload
Предлагаю в этой статье исследовать использование динамических библиотек (DLL) в качестве полезной нагрузки и попробовать загрузить вредоносный файл DLL в текущем процессе. Создание DLL Создание DLL просто и может быть выполнено с помощью Visual Studio. Создайте новый проект, выберите язык...
ru-sfera.pw
Уроки - Разработка малвари-12. Иньекция в процесс
В этой статье предлагаю обсудить метод, аналогичный тому, что был показан ранее при локальной инъекции DLL, за исключением того, что теперь инъекция будет выполняться в удаленный процесс. Перечисление процессов Прежде чем можно будет инъецировать DLL в процесс, необходимо выбрать целевой...
ru-sfera.pw
Уроки - Разработка малвари-13.Инъекция шелл-кода в процесс
Эта статья похожа на предыдущую DLL Injection с небольшими изменениями. Инъекция shellcode в процесс будет использовать практически те же самые API Windows. VirtualAllocEx - выделение памяти. WriteProcessMemory - запись полезной нагрузки в удаленный процесс. VirtualProtectEx - изменение...
ru-sfera.pw
Уроки - Разработка малвари-14. Размещаем Payload удаленно на сервере
На протяжении всех статей до сих пор payload был постоянно хранящимся непосредственно внутри бинарного файла. Это быстрый и часто используемый метод для извлечения payload. К сожалению, в некоторых случаях, когда существуют ограничения по размеру payload, сохранение payload внутри кода не...
ru-sfera.pw
Уроки - Разработка вирусов-15. Прячем Payload в реестре
В общем из предыдущих уроков мы с вами знаем, что payload не обязательно должен храниться внутри вредоносной программы. Вместо этого payload может быть получен во время выполнения вредоносной программы. В этой статье будет показана похожая техника, только payload будет записан в качестве...
ru-sfera.pw
Уроки - Разработка вирусов-16.Разборка с цифровой подписью зверька
Когда пользователь пытается загрузить исполняемый файл из интернета, он часто подписан компанией как способ доказать пользователю, что это надежный исполняемый файл. Несмотря на то что системы безопасности все равно будут проверять исполняемый файл, на него была бы направлена дополнительная...
ru-sfera.pw
Уроки - Разработка вирусов-17.Изучаем технику Thread Hijacking
Thread Hijacking (Похищение потока) - это техника, позволяющая выполнять полезную нагрузку без создания нового потока. Этот метод работает путем приостановки потока и обновления регистра адреса команды, указывающего на следующую инструкцию в памяти, чтобы он указывал на начало полезной нагрузки...
ru-sfera.pw
Уроки - Разработка малвари-18.Определение PID нужного процесса, или перечисления процессов
Тема перечисления процессов затрагивалась здесь:Уроки - Разработка малвари-12. Иньекция в процесс Также в этой теме для проведения атаки Thread Hijacking в удаленный процесс необходимо получить ID целевого процесса. Давайте попробуем это сделать, что-бы не привлекать внимание антивирусов.)...
ru-sfera.pw
Уроки - Разработка вирусов-19.Изучаем технику APC Injection
Предлагаю в этой статье рассмотреть один способ выполнения полезной нагрузки без создания нового потока. Этот метод известен как APC-инъекция. Что такое APC? Асинхронные вызовы процедур (APC) — это механизм операционной системы Windows, который позволяет программам выполнять задачи асинхронно...
ru-sfera.pw
Уроки - Разработка вирусов-20.Вызов кода через функции обратного вызова
Введение Функции обратного вызова используются для обработки событий или выполнения действия, когда выполняется определенное условие. Они применяются в различных сценариях в операционной системе Windows, включая обработку событий, управление окнами и многопоточность. Определение функции...
ru-sfera.pw
Уроки - Разработка вирусов-21.Инъекция отображаемой памяти
Локальная инъекция отображаемой памяти Введение До сих пор во всех предыдущих реализациях использовался тип локальной памяти для хранения полезной нагрузки во время выполнения. Локальная память выделяется с использованием VirtualAlloc или VirtualAllocEx. На следующем изображении показана...
ru-sfera.pw
Уроки - Разработка вирусов-22.Изучаем технику Stomping Injection
Предыдущая статья показывала как запустить peyload и при этом избежать использования вызовов WinAPI VirtualAlloc/Ex. Этот-же урок демонстрирует другой метод, который избегает использования этих WinAPI. Термин "stomping" относится к действию перезаписи или замены памяти функции или другой...
ru-sfera.pw
Уроки - Разработка вирусов-23. Контроль выполнения полезной нагрузки
В реальных сценариях важно ограничивать действия, выполняемые вредоносным ПО, и концентрироваться на основных задачах. Чем больше действий выполняет вредоносное ПО, тем вероятнее, что его обнаружат системы мониторинга. Вот например такая ситуация, как в этом уроке, правилом хорошего тона перед...
ru-sfera.pw
Уроки - Разработка вирусов-24. Изучаем технику Spoofing
Spoofing - В переводе подмена.) Рассмотрим несколько вариантов техники: Подмена номера родительского процесса (PPID) Это техника, используемая для изменения PPID процесса, что позволяет эффективно маскировать связь между дочерним процессом и его истинным родительским процессом. Это можно...
ru-sfera.pw
Уроки - Разработка вирусов-25. Скрытие строк
Хеширование - это техника, используемая для создания фиксированного представления куска данных, называемого хеш-значением или хеш-кодом. Хеш-алгоритмы разработаны как односторонние функции, что означает, что вычислительно невозможно определить исходные входные данные, используя хеш-значение...
ru-sfera.pw
Уроки - Разработка вирусов-26. Изучаем кунгфу-1. Скрытие таблицы импорта
Таблица импортных адресов (IAT) содержит информацию о файле PE, такую как используемые функции и DLL, экспортирующие их. Этот тип информации может быть использован для создания сигнатуры и обнаружения двоичного кода. Например, изображение ниже показывает таблицу импортных адресов примера...
ru-sfera.pw
Уроки - Разработка вирусов-27.Кунгфу-2.Изучаем API Hooking
Введение API Hooking — это техника, используемая для перехвата и изменения поведения функции API. Она часто используется для отладки, обратного проектирования и взлома игр. API Hooking позволяет заменять оригинальную реализацию функции API собственной версией, которая выполняет некоторые...
ru-sfera.pw
Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами
Что такое системные вызовы (Syscalls) Системные вызовы Windows или syscalls служат интерфейсом для взаимодействия программ с системой, позволяя им запрашивать определенные услуги, такие как чтение или запись в файл, создание нового процесса или выделение памяти. Помните из вводных модулей, что...
ru-sfera.pw
Уроки - Разработка вирусов-29. Предельная техника-2. Практика. Реализуем техники инъекции через сисколы
В прошлой статье:Уроки - Разработка вирусов-28. Предельная техника. Разборка с сисколами мы разобрали теорию. Давайте теперь переделаем техники: https://ru-sfera.pw/threads/razrabotka-virusov-17-izuchaem-texniku-thread-hijacking.4449/...
ru-sfera.pw
Уроки - Разработка вирусов-30.Черпаем силы в антиотладке
Техники антианализа - это методы, предотвращающие деятельность специалистов по безопасности (например, команды blue team) по расследованию вредоносного ПО и поиску статических или динамических сигнатур и IoC. Поскольку эта информация используется для обнаружения образца, когда он вновь...
ru-sfera.pw
Уроки - Разработка вирусов-31.Обход виртуальных машин
В этой статье давайте рассмотрим техники антивиртуализации, в случае если вирус пытаются запустить в виртуальной среде или песочнице. Антивиртуализация через характеристики аппаратного обеспечения В общем случае виртуализированные среды не имеют полного доступа к аппаратному обеспечению...
ru-sfera.pw
Уроки - Разработка вирусов-32.Открываем врата ада
В этих темах: https://ru-sfera.pw/threads/razrabotka-virusov-28-predelnaja-texnika-razborka-s-siskolami.4482/ https://ru-sfera.pw/threads/razrabotka-virusov-29-predelnaja-texnika-2-praktika-realizuem-texniki-inekcii-cherez-siskoly.4483/ Мы обсуждали прямые системные вызовы для обхода хуков и...
ru-sfera.pw
Уроки - Разработка вирусов-33.Уменьшение вероятности детекта зверька
В общем в рамках этого цикла думаю осталось две статьи, эта статья закончит теорию. А две другие будут практика, где мы попробуем использовать полученные знания для обхода Windows defender. Далее если у меня будет силы и время, попробую оформить эти статьи в pdf книге. Итак теперь по теме...
ru-sfera.pw
Уроки - Разработка вирусов-34.Обход Windows defender
Введение До сих пор было продемонстрировано множество методов и техник создания и выполнения загрузчика payload, который может обходить различные программы защиты от вредоносного кода. Эта статья будет работать над созданием полнофункционального загрузчика payload с нуля, чтобы укрепить знания...
ru-sfera.pw
Уроки - Разработка вирусов-35.Обход EDRs.Последняя тема цикла
Эта статья будет последняя в этом цикле. Да ещё много чего не рассказано, но что-то со временем у меня беда, поэтому спешил по быстрее выложить статьи. Далее ещё планирую оформить это в pdf книги. Надеюсь эти статьи кому-то покажутся интересным и сразу извиняюсь за их качества, хотя вероятно...
ru-sfera.pw
На заметку - Про детект в памяти. Ничего не поделаешь и это неизбежно)
Всем привет! Хотел ещё добавить: Вот в этой теме:Уроки - Разработка вирусов-35.Обход EDRs.Последняя тема цикла Был поднят вопрос детекта памяти, да можно использовать такие штуки:Уроки - Разработка вирусов-32.Открываем врата ада Но тем не менее важно что-бы сама нагрузка тоже не палилась, в...
ru-sfera.pw
Дополнения:
ВАЖНО - Огромная база исходников современных вирусов для разных платформ
Весь исходный код, который упакован, может быть или не быть установлен с паролем 'infected' (без кавычек). Отдельные файлы, вероятно, не упакованы. Структура каталогов: Android Generic Android OS malware, some leaks and proof-of-concepts Engines BAT Linux VBS Win32 Java Some java...
ru-sfera.pw
Уроки - Как я RootKit загружал или же как загрузить драйвер без подписи
Для начала давайте разберемся что такое RootKit? Для того что бы RootKit смог запуститься на пк жертвы, есть 2 варианта: Заплатить от 150$ за подпись драйвера Использовать маппер который с помощью уязвимого драйвера (на котором уже есть подпись) загрузит ваш RootKit. Первый вариант нам не...
ru-sfera.pw
Малварь как искусство - Обход AMSI
Очень познавательная статья с Хакера:О6фy$kация. Обходим детект вредоносных макросов Word И это ответ тем, кто считает что скриптами нельзя делать низкоуровневые вещи, можно всё при должном умении и знании...) Казалось бы, макровирусы давно и безвозвратно ушли в прошлое. Уж что‑что, а...
ru-sfera.pw
Уроки - Обход AMSI при помощи хардварных точек останова
AMSI (Antimalware Scan Interface) — это интерфейс, предоставляемый Microsoft, который позволяет приложениям и службам отправлять данные на сканирование антивирусными решениями, установленными на системе. С AMSI разработчики могут лучше интегрироваться с антивирусными решениями и обеспечивать...
ru-sfera.pw
Руткиты и буткиты:Исследование и изучение
Переводы статей по руткитам и буткитам, а также авторские статьи.
ru-sfera.pw
Разработка драйверов для Windows
ru-sfera.pw
Проверка возможностей ChatGPT
Привет мир! Я тут недавно вернулся из очень длительного отпуска, дабы снова сделать что-нибудь интересное или весёлое. Собственно, начнём как всегда. Отдыхай!!! Не забывайте, что я всё это проделал лишь ради интереса и в целях обучения!!! Недавно мне стало скучно, а потому я закупил за 600...
ru-sfera.pw
Джейлбрейкинг ChatGPT
Здравия! Я уже писал тему насчёт джейлбрейкинга ChatGPT, однако нашёл много очень интересных способов это сделать. Покажу парочку примеров. Сейчас мы заставим ChatGPT: Рассказать нам как правильно готовить огромное количество взрывчатки. Дать нам мануал по синтезу метамфетамина. Показать...
ru-sfera.pw
Последнее редактирование: