11 Antworten in diesem Thema

[terratec1991]

Terra Load Builder ist ein kleines und simples Tool zum Erstellen eines "Droppers"

 

- Geschrieben habe ich das Tool selber in - C# -

Funktionsweise

 

Einfach einen Direct-Download-Link eingeben & auf den Build-Button clicken.

Dann Speicherort wählen und Speichern.

(OPTIONAL) Die Builded Datei durch einen Obfuscator jagen oder mit einem anderem Tool binden!

stub Size = ca. 5 Kb

 

Analysen

 

 

Hybrid-Analyze:

Please Login HERE or Register HERE to see this link!

 

VT-Analyze :

Please Login HERE or Register HERE to see this link!

 

Download_Exec Build:

Please Login HERE or Register HERE to see this link!

 

Bilder

 

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

 

Download

 

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.

[n1nja]

Wird gedroppt oder Injected?

[terratec1991]

gedroppt..

 

Also sollte demzufolge die zu downloadende Datei FUD sein.

[n1nja]

Ok.

 

Noch ne kleine Info dazu.

Bei .Net Sachen sollte man immer das Framework dazuscheiben was benötigt wird. Sowohl Builder als auch Stub

 

Vllt schau ich mir nachher mal den Source an und gib dann Feedback

[rat123]

gedroppt..

 

Also sollte demzufolge die zu downloadende Datei FUD sein.

Sowas wird, egal ob die Stub FUD ist oder nicht, mittlerweile ganz einfach Emuliert und Detected. Spätestens in der Laufzeit.
Trotzdem, danke für deinen Beitrag.

[n1nja]

Ja gerade von den größeren AVs.

 

Sobald man Download und Execute macht wirds geblockt, so wie rat123 es schon sagte.

[terratec1991]

Builder ist in .Net 4.5 und stub in .Net 3.5.. Und zum ganzen Rest, habe vor 3 Wochen erst mit dem Programmieren lernen angefangen. Und nur Theorie ist nicht so mein Ding.. Ich verstehe es meist erst nach dem ich es praktisch umgesetzt habe. Aber übung macht den Meister

[n1nja]

Ja ok alles klar.

Find gut, das man dann solche kleinen Sachen bereitstellt:)

Weiter so:)

[terratec1991]

Das ist schön zu hören..=) Ab nächsten Monat beginnt dann mein 2 jähriges Fernstudium zum geprüften Programmierer. Spätestens danach kommen bessere sachen

[n1nja]

Da sind wir dann mal alle gespannt:)

[Rogerlopensio]

Wisst ihr eigendlich ob D/E noch funktioniert indem man quasi live auf dem victim pc erst kompiliert(Habe Quasar mal Refuded). Davon gibts ja schon gewisse Threads im internet (Mit anderer intention natürlich) oder zum beispiel Shellcode von Pastebin etc ziehen und dann direkt ausführen

[rat123]

Wisst ihr eigendlich ob D/E noch funktioniert indem man quasi live auf dem victim pc erst kompiliert(Habe Quasar mal Refuded). Davon gibts ja schon gewisse Threads im internet (Mit anderer intention natürlich) oder zum beispiel Shellcode von Pastebin etc ziehen und dann direkt ausführen

Es kommt mittlerweile nicht mehr darauf an wie Undetected der Shellcode/die Stub ist oder wie man ausführbare Segmente ladet und woher. Engines wie HIPS oder Paravirtualisierungstechniken, wie von Kaspersky, erkennen VM Operationen anhand der Calls die im endeffekt davon ausgehen und werten diese richtig aus. Das heisst im Schlussstrich sind die Methoden relevant die im Usermode umgesetzt werden, egal ob von pastebin oder hardcoded irgendwas gezogen wird.