Bseven 6 Опубликовано: 14 фев 2024 В данной теме описываю свой опыт исключительно для новичков.. Тк все что я пишу - это исключительно мой опыт, который может быть не совсем точным. Первое, что необходимо разобрать это крипт, тк без него не будет работы: Крипт - это оболочка (шифрование) файла для того что бы АВ (антивирусы) не обнаруживали ваш файл Цены начинаются от 100$ за файл. Есть и более дешевые варианты. Вам могут сделать уникальный (приват) стаб, который прослужит сильно дольше. Либо сделать паблик стаб. Но в таком случае криптуют не только вас, но и других клиентов. а значит ваш файл начнет палиться быстрее. Что касается FUD файла. (0/32) - для новичка это совсем не обязательно. Я бы сказал, самое главное - что бы деф был чистый. Не только в статике, но и динамике. Тк деф - это более 60% устройств. (НИКОГДА НЕ ВЫКЛАДЫВАЙТЕ КРИПТОВАННЫЕ ФАЙЛА НА ВИРУСТОТАЛ!!!!) Второе: Алерты А) Самый ненавистный алерт новичков, это алерт гугл хрома. При скачивании файла с вашего хостинга (не держите файлы на хостингах), либо впс - вы с 99,9% увидите: Файл скачивают редко. Возможно он вредоносный. Из паблик решений я знаю только 1: Премиум аккаунт дропбокса. Используйте на здоровье. Б) SmartScreen. Данное окошко вы поймаете если будете качать файл с браузера Edge, либо же если запустите файл на пк. Это значит то, что майкам не известен ваш файл. ( https://feedback.smartscreen.microsoft.com/feedback.aspx ) Данный аллерт можно обойти с помощью сертификата EV. Его цена - от 4к до 8к. Настоятельно рекомендую записывать на свои токены 5110С (не путать с 5110), либо покупать его с физической доставкой. Иначе есть вероятность попасть на не честного селлера и вашим сертом будут подписывать и другие файлы. Что сильно сократит срок его жизни. Срок жизни сертификата зависит от кол-ва пролитого трафика и его аудитории. Может жить как месяц, так и год. Сертификат умирает по 2 причинам - Если его отзовут, либо если будете подписывать файлы с детектом от дефендера. На сертификат так же может попасть детект от дефа. И тогда при подписи абсолютно чистого файла вы будете ловить детект дефа. Он тупо запомнит ваш серт. В) UAC - это не совсем алерт. Это запрос на изменение в системе. К примеру, добавление в исключение дефендера. Иными словами - это запрос админ прав. Очень много софтов работают с лоу прав. Значит не требуют UAC. Но есть решения, где получаются админ права без запроса. Не паблик. Теперь вы понимаете, что для работы с вирусами, вам надо иметь чистый файл, на который не будут ругаться не только АВ (крипт), но и Виндовс (Сертификат ЕВ) Давайте теперь подумаем, с какими софтами вы бы хотели работать? Начнем с самого популярного вируса 1) Стиллеры. Их множество, от бесплатных сорцов на гитхабе, до приват решений за 10 000$. вредоносное программное обеспечение, предназначенное для кражи ценных данных с зараженной машины, таких как куки-файлы, логины и пароли, скрины с рабочего стола. Стиллеры делятся на 2 типа. Резидент и не резидент. Не резидент стиллер - после исполнения (похищения данных) он удаляется с компьютера Резидент - живет в памяти компьютера и при необходимости (к примеру обновить кукисы) снова выполняет свою задачу Лично я давно не работал с паблик стиллерами, но слышал что Люма стиллер неплохое решение. Стиллеры, отрабатывают на 3 направления . 1) Крипта, 2) Сбор СС, 3) Сбор платежных систем (Банки, пейпал, амазон и пр) Стиллер крадет данные: Кукисы (Файлы cookie – это небольшие фрагменты текста, передаваемые в браузер с сайта, который вы открываете. С их помощью сайт запоминает информацию о ваших посещениях.) Пароли и логины которые вы сохраняете при посещении сайтов Так же ваши платежные данные 2) HVNC. Этот тот же VNC (удаленный рабочий стол) но только скрытый. Вы работаете с учетки КХ, но скрытно. Если в случае со стиллером - вы стараетесь быть максимально похожим на КХ, то в этом случае КХ = ВЫ. ВЫ = КХ. HVNC бывает только рзидентным и живет на компе до тех пор, пока ваш файл (стаб) не начнет палиться. Поэтому лучшим решением будет грузить рефлекторную длл через лоадер, которая будет жить в памяти пк Таким образом ваш бот будет жить месяцами на пк 3) Что такое лоадер - дропер. Дропер - это прокладка между вашим вирусом и пк жертвы. Его задача - запустить ваш троян и удалиться с пк. Лоадер - тот же дропер, но только он в большинстве случаев является резидентным и имеет разный функционал, а не только запуск вашего пейлоада Третье - Вы завели своего зверька, купили EV, закриптовали его, что же делать дальше, что бы заработать? Правильно - теперь нам нужны жертвы. Тут вариантов массы. От спама руками по тг, залива видео на ютуб и до контекстной рекламы. 0 Поделиться сообщением Ссылка на сообщение