D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Автор: it_solutions
Специально для форума XSS.IS
В данной статье будет рассмотрен новый, ранее нигде не упомянутый метод бесфайлого запуска исполняемых файлов через VHD и ISO контейнеры.
Будет рассмотрен весь путь полностью от POC кода, работающего в командной строке Windows, до полноценной реализации на WinAPI.
В конечном итоге получим компактный EXE в несколько килобайт размером, написанный на C++, который запускает файл заданный в командной строке таким образом, что он будет присутствовать только в памяти компьютера. Но на жёстком диске самого EXE файла после запуска не будет.
Кроме того, данная статья будет интересна тем, кто хочет разобраться в API для работы с виртуальными образами дисков (ISO и VHD) файла.
Так же будет рассмотрен пример чистки DLL файла от динамического детекта на Windows Defender, примененив новый метод бесфайлового запуска и скомбинировав его с другими ранее известными способами устранения детектов.
Здесь вы найдёте краткие примеры с очень подробными комментариями: как создать виртуальный диск в Windows, как смонтировать/размонтировать в системе и т.д.
Примеры будут для командной строки Windows, на Powershell, и на C++.
Эта статья как на тему уязвимостей, так и на тему разработки малвари.
С одной стороны, здесь речь идёт об уязвимостях файловой системы, и дано описание новой, ранее нигде не опубликованной уязвимости, позволяющей делать бесфайловый запуск и маскировать EXE/DLL файлы в системе.
С другой стороны, здесь много практического материала на тему чистки динамических детектов путём прописывания в свойства процессов заведомо неправильных путей к файловым образам.
Поэтому, эта статья больше подходит для темы MALDEV, и публикуется в данном разделе форума.
Краткое содержание статьи:
1. Найден новый способ бесфайлового запуска EXE/DLL, подробно разбираем его. POC код в виде батника можно Скачать
Специально для форума XSS.IS
Новый метод бесфайлового запуска исполняемых файлов.
В данной статье будет рассмотрен новый, ранее нигде не упомянутый метод бесфайлого запуска исполняемых файлов через VHD и ISO контейнеры.
Будет рассмотрен весь путь полностью от POC кода, работающего в командной строке Windows, до полноценной реализации на WinAPI.
В конечном итоге получим компактный EXE в несколько килобайт размером, написанный на C++, который запускает файл заданный в командной строке таким образом, что он будет присутствовать только в памяти компьютера. Но на жёстком диске самого EXE файла после запуска не будет.
Кроме того, данная статья будет интересна тем, кто хочет разобраться в API для работы с виртуальными образами дисков (ISO и VHD) файла.
Так же будет рассмотрен пример чистки DLL файла от динамического детекта на Windows Defender, примененив новый метод бесфайлового запуска и скомбинировав его с другими ранее известными способами устранения детектов.
Здесь вы найдёте краткие примеры с очень подробными комментариями: как создать виртуальный диск в Windows, как смонтировать/размонтировать в системе и т.д.
Примеры будут для командной строки Windows, на Powershell, и на C++.
Эта статья как на тему уязвимостей, так и на тему разработки малвари.
С одной стороны, здесь речь идёт об уязвимостях файловой системы, и дано описание новой, ранее нигде не опубликованной уязвимости, позволяющей делать бесфайловый запуск и маскировать EXE/DLL файлы в системе.
С другой стороны, здесь много практического материала на тему чистки динамических детектов путём прописывания в свойства процессов заведомо неправильных путей к файловым образам.
Поэтому, эта статья больше подходит для темы MALDEV, и публикуется в данном разделе форума.
Краткое содержание статьи:
1. Найден новый способ бесфайлового запуска EXE/DLL, подробно разбираем его. POC код в виде батника можно Скачать
View hidden content is available for registered users!