Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen
Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.
  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

Fileless Installation

- - - - -

  • Bitte melde dich an um zu Antworten
Keine Antworten in diesem Thema

#1
IRET

IRET

    Lamer

  • Members
  • PIPPIPPIP
  • Likes
    71
  • 17 Beiträge
  • 7 Bedankt

Hier mal ein Powershell Script das ein PS Script erstellt das eine angegebene Exe in die Registry schreibt und im Autostart einträgt. Der Autostart-Eintrag lädt die Exe dann aus der Registry und somit wird das Filesystem komplett umgangen.

 

 

Aufruf ist simpel:

powershell -File builder.ps1 x86.exe [x64.exe]

Es werden sowohl 32-bit als auch 64-bit unterstützt und je nach System zugehörige ausgeführt. 64-bit ist optional.

Danach kommt ein "script.ps1" raus, das der Installer für die Exe ist (trägt nur paar Registry Einträge ein).

 

 

Funktionsweise ist simpel:

Zuerst wird ein Powershell Script erstellt, das einen neuen Powershell-Prozess startet und dann mit der Exe ersetzt. Hierzu wird eine leicht modifizierte Version von 

Please Login HERE or Register HERE to see this link!

 verwendet (in data/runpe.ps1 zu finden). Das wird Base64-kodiert und in das Script data/run.js eingebunden. run.js beinhaltet JS-Code der ein Shell-Objekt basierend auf der Powershell lädt welches dann zugehörigen PS-Code ausführt.

In den Autostart wird dann nur noch ein Aufruf der rundl32.exe der JS ausführt (das das JS aus dem vorherigen Registry Eintrag ausliest und ausführt) geschrieben. Damit wird dann alles gestartet.

 

Dieser Aufruf der rundll32.exe ist allerdings detected und wird daher bei aktivem AV (auch Windows Defender AV) blockiert.

 

 

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.


Bearbeitet von IRET, 11 Dezember 2019 - 18:50 Uhr.


Thanked by 3 Members:
Crowx88 , Zerobyte , DR.zydz


  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen: 0

Mitglieder: 0, Gäste: 0, unsichtbare Mitglieder: 0

Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.