Category: SOFTWARE

Предысторией идеи написать этот топик послужила тема с продажей dropper-а, который выключает Windows Defender перед тем, как загружает и запускает какой-либо исполняемый файл. Все бы ничего, есть продукт и есть, но цена в три тысячи долларов…? В этой статье я просто вставлю вырезки (сниппеты) кода, которые помогут вам написать свой такой лоадер без каких либо…

Давай отложим в сторону сухую техническую прагматику и поговорим о прекрасном. Ты спросишь: что может быть прекрасного в обфускации кода? Я отвечу: некоторые решения в этой области обладают прямо‑таки эстетически чарующей красотой, доступной только истинным ценителям. Правда, называются порой не особенно благозвучно. Сегодня мы поговорим о JSFuck — инструменте для обфускации и деобфускации JavaScript. На…

Hello dear users, today I have prepared an introductory article about fileless malware for you. I hope this article is good and efficient and will help newbies, and in the next parts I will talk more about the methods of this type of malware. What is fileless malware? ak in-memory malware ,aka memory-based malware it…

今天，我想分享一些非常简单且有帮助的事情。你们中的一些人可能已经知道它，但对于那些不知道的人，我希望您会发现它很有趣并且它非常适合您的库存。 ：t 所有测试均在 Windows 11 23H2/Windows 10 22H2 上进行，使用我将要解释的工具和技术，并使用 Cobalt Strike 4.9.1 作为 C2 框架。如果从容器中提取文件并将其粘贴到目录（例如桌面）上，SmartScreen 不会收到警报。 今天我想分享一些非常简单且有用的东西。你们中的一些人可能已经知道这一点，但我希望那些不知道的人会发现它很有趣并且适合您的库存。 ：t 所有测试都是在 Windows 11 23H2/Windows 10 22H2 上完成的，使用我将要解释的工具和技术，以及作为 C2 平台的 Cobalt Strike 4.9.1。如果从容器中删除文件并将其粘贴到目录（例如桌面）中，SmartScreen 不会发出警告。 1.- 使用类似以下工具构建容器： https://github.com/mgeeky/PackMyPayload 有许多 GUI 开源工具可以构建需要安装的容器，例如 mkisofs 等。 注意：容器=.iso/.img 2.- 将您的容器存储在以下任意网络项目上。这将为我们的下载域提供更多信任。出于测试目的，这不是强制性的，但为什么不把事情做好，对吧？ https://lots-project.com/ 3.- 我在静态和运行时分析中使用干净的有效负载，我不知道在静态上检测到的恶意软件。 4.- 在 Edge 之后，Chrome 不会将您的有效负载/恶意软件检测为恶意软件。这将是一个干净的下载。您会注意到，运行容器内的文件没有 Web 标记，并且不会触发 Windows SmartScreen（有效负载必须从目录运行，而不是从容器内部运行，否则 SmartScreen…

Clipper 在 Android 上的应用 概述、示例和技术细节在本文中，我们将讨论 Android 上的 Clippers 主题。我将提供一个简单的 Clipper 示例，解释其内部工作原理，并讨论加密货币钱包模式。 剪子有什么作用？ -Clipper 是一种恶意软件，可以监视受害者设备上剪贴板的内容。它等待受害者复制加密钱包地址。 之后，裁剪器检查缓冲区中的文本是否与加密货币地址的模式匹配。如果找到匹配，剪辑器就会用攻击者控制的地址替换原始地址。受害者在没有仔细检查地址的情况下，将资金发送到欺骗的地址。操作原理简单但有效。让我们来看看技术细节。 加密钱包模式的示例 -我们来看看Bech32标准中的比特币地址格式。模式示例： String bitcoinPattern = “^bc1[ac-hj-np-z02-9]{11.71}$”; 模式分析： ^bc1：所有 Bech32 格式地址均以“bc1”开头。[ac-hj-np-z02-9]：地址主要部分允许的字符范围。{11,71}：字符数，从 11 到 71。这些限制由 Bech32 标准定义。 不同的加密货币使用自己的地址格式。 其他加密货币钱包模式 – Tron: String tronPattern = “^T[1-9A-HJ-NP-Za-km-z]{33}$”; Monero: String moneroPattern = “^4[0-9AB][1-9A-HJ-NP-Za-km-z]{93}$”; Binance Coin (BNB): String bnbPattern = “^bnb1[ac-hj-np-z02-9]{38}$”; Ethereum: String ethereumPattern = “^0x[a-fA-F0-9]{40}$”;…

这里有一些有趣的 Python 代码，可让您从 VirusTotal 获取恶意软件报告并进行比较。听起来很有趣，不是吗？让我们仔细看看它。 介绍 该代码首先导入必要的库，例如用于处理 HTTP 请求的 requests 和用于在终端中输出漂亮文本的 colorama。 VirusTotalAPI 类 接下来，定义 VirusTotalAPI 类，它允许您与 VirusTotal API 进行交互。它在初始化时接受您的 API 密钥，并具有 download_report 方法，可以通过哈希值下载文件的报告。 报表管理类 以下 ReportManager 类使报表的处理变得更加容易。它将报告缓存到磁盘，因此不必再次下载。 get_report 方法检查报告是否在缓存中，如果没有，则通过 VirusTotalAPI 加载它。 检测比较器类 DetectionComparator 类是我们节目中真正的明星！它会比较两个报告并确定哪些防病毒引擎检测到新威胁，哪些引擎停止检测它们，以及哪些引擎更改了结果。这有助于跟踪恶意软件检测的变化。 检测打印机类 最后，DetectionPrinter 类负责将比较结果精美地输出到终端。它使用 colorama 库以不同颜色突出显示新的、删除的和更改的检测。 主要功能 在主函数中，类被初始化，报告被加载，结果被比较和显示。您可以更改文件哈希值以进行测试或使用您的 VirusTotal API 密钥。 完整代码 就是这样！现在您已经了解这段代码是如何工作的以及它的作用了。不要忘记运行它并在终端中查看结果。祝你学习 Python 愉快！