DLL Injection ve Windows aplikacích

Tato technika injekce kódu do cizího procesu je dlouhodobě známá, a proto by se zdálo, že v současnosti již nepoužitelná. Přesto se jí stále hojně využívá. Na straně dobra i na straně zla. Autoři malware využívají této techniky pro ukrytí svého kódu do jiného procesu, kde následně může „nepozorovaně“ vegetovat/pracovat. V případě antivirových pracovníků a různých reverze-code-engineerů se jedná hlavně o možnost využívat/volat kód uvnitř injektované DLL knihovny (inicializační kód, veřejně přístupné funkce…) pro usnadnění práce.
Read more

WinExec cmd.exe + ExitProcess Win32 Portable Shellcode

Allwin shellcode, který pomocí WinExec spustí cmd.exe a regulérně se ukončí pomocí ExitProcess. Shellcode neobsahuje NULL byty. Využívá PEB strukturu k nalezení kernel32.dll v paměti procesu. Kód byl úspěšně testován na:
Win XP SP2 ENG
Win XP SP2 CZ
Win XP SP3 CZ
Win Vista (32bit)/(64bit)
Win 2000
Win 2003
Win 7 (32bit)/(64bit)
Win 2k8 (32bit)

Read more

DLL knihovna PE_image.dll pro práci s raw soubory na disku

Při práci s PE (Portable Executable) soubory dřív nebo později každý zjistí, že neustálé kopírování stejného kódu/funkcí (v lepším případě) nebo jeho stálé znovuvytváření (v horším případě), je vyloženě ztráta času. Proto jsem před časem vytvořil DLL knihovnu, která aktuálně obsahuje 17 funkcí pro práci s raw soubory (nespuštěné soubory uložené na disku).
Read more

Nebojme se shellcodů IV.

Tímto dílem pokračuje seriál o shellcodech pokročilými technikami, které se využívají pro vylepšení funkčnosti. Tento díl seznámí čtenáře s tvorbou generátoru zakódovaných shellcodů pomocí operátoru XOR.
Read more

„Greedy bee“ – Jednoduchý infektor PHP souborů

„Greedy bee“ je jednoduchý infektor PHP skritů, který vznikl na popud několika jedinců, které zajímalo, jak je možné, že jsou webové stránky na hostinzích masově infikovány roztodivnými kódy (hlavně PHP a JS). Kód nepředpokládá žádné překážky v podobě open_basedir, safe_mode, disabled functions atd. a nebsahuje ani žádné bypassy.
Read more