Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

crazykid

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Chym Lợn;9972 đã viết:
Delphi đơn giản hả cậu ? cậu RCE trên Delphi bao giờ chưa :-s

Mình cũng may mắn được RCE các chương trình delphi 1 vài lần thui bạn

Các chương trình viết bằng Delphi làm dân RCE vui ở chỗ các trình dịch của nó đều dựa chuẩn Object Pascal nên các cơ chế gần như nhau ( các trình biên dịch gần đây nhất thì chưa tiếp cận nên chưa biết có thay đổi gì không ) 1 điều nữa là có khá nhiều công cụ rất mạnh hỗ trợ RCE delphi. Kaspersky Lab và CMC đều có cung cấp nhiều công cụ như thế. hơn nữa khi RCE delphi ta đỡ được những công đoạn như đau đầu reformat các exception handler. Lọc code code inline,.... Mặc dù khi nó code bằng C/C++ thì ta có thể lọc ra code của nó sau khi so sánh các open source tuy nhiên RCE Delphi vẫn rất hấp dẫn

cá nhân mình thấy thế

Phanonra

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

crazykid;10038 đã viết:
asNói như bạn thì IDE C/C++, Perl và nhiều nữa đều có thể code được asm bạn ạ just for kid

Đang nói về IDE Delphi ... có động chạm hay xịt chao gì liên quan tới IDE khác đâu bạn ?

Chym Lợn

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

crazykid;10039 đã viết:
Mình cũng may mắn được RCE các chương trình delphi 1 vài lần thui bạn Các chương trình viết bằng Delphi làm dân RCE vui ở chỗ các trình dịch của nó đều dựa chuẩn Object Pascal nên các cơ chế gần như nhau ( các trình biên dịch gần đây nhất thì chưa tiếp cận nên chưa biết có thay đổi gì không ) 1 điều nữa là có khá nhiều công cụ rất mạnh hỗ trợ RCE delphi. Kaspersky Lab và CMC đều có cung cấp nhiều công cụ như thế. hơn nữa khi RCE delphi ta đỡ được những công đoạn như đau đầu reformat các exception handler. Lọc code code inline,.... Mặc dù khi nó code bằng C/C++ thì ta có thể lọc ra code của nó sau khi so sánh các open source tuy nhiên RCE Delphi vẫn rất hấp dẫn cá nhân mình thấy thế

So sánh kiểu gì vậy bạn

. Tell me ;

crazykid

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Đối với các malware dùng VC++ ta có thể xác định version trình biên dịch, sau khi xác định được nó thì ta có thể tìm các thư viện Dell tương ứng của trình dịch đó, lấy con debugger symbol file từ MS apply các .pdb lưu lại .idb sử dụng các plugin để so sánh idb malware và idb đó. Vô thư mục source của VS cùng version với ver của con malware và apply các name, symboy từ thư việc của VC sang idb của malware. Đánh dấu các function thư viện, các match và identical bạn sẽ lọc ra được code của coder malware đó + 1 số code inline. Dựa vào kết quả classinformer các string các hard code,.... tra google cố gắng xem liệu thằng code đó xài các source nào, kéo nó về và lại apply idb file .lib hay .dll của open source đó tìm ra các hàm. Đế đó là bạn đã lọc ra được phần nào rồi

Phần còn lại code lẽ nhường cho bạn

kiến thức mình nông cạn nên nói tới đây đủ gạch xây nhà ùi

crazykid

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Phanonra;10041 đã viết:
Đang nói về IDE Delphi ... có động chạm hay xịt chao gì liên quan tới IDE khác đâu bạn ?

Phanonra

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Mình không biết các bác phân tích thế nào, ngoài delphi và asm ... ngôn ngữ khác mình chưa bao giờ code.
Còn về thế mạnh, mình từng thử chia ra 2 team , team mình chỉ 1 người, team kia 5 người với đề tài code con backdoor đơn giản với gui giao diện và ghi lại keylog trả về server, server xâu ra danh sách IP , chuột phải vào có thể xem log keylogger.
> Thời gian hoàn thành của mình là khoảng 1 tiếng
> Bên kia thì mất 1 ngày

Thích code delphi vì IDE hỗ trợ mạnh, đơn giản, ngôn ngữ sạch thuần túy, dễ nhìn, cơ bản.

Khác nhau ... tại sao người code C/C++/C#/Java đông hơn hẳn so với delphi ?
> C/C++/C#/Java -> trường lớp dạy, microsoft hậu đãi
-> Delphi trường lớp ít ai dạy , microsoft ko hậu đãi

> C/C++/C#/Java -> nhiều ví dụ, cộng đồng lớn, làm việc mang tính chất teamwork
-> Delphi ít ví dụ nhưng nếu có kiến thức về C/C++/C#/Java vẫn có thể sao chép ý tưởng rồi chuyển đổi về delphi, có tính chất solo programmer

> C/C++/C#/Java rất mạnh toàn cầu, mạnh ở VN
-> Delphi cực mạnh ở trung quốc, nga, châu âu (thêm bí mật nho nhỏ, các đại ka code virus khủng như flame, ... đều sử dụng delphi) -> học hỏi thêm kinh nghiệm.

Chốt: Ngôn ngữ lập trình không quan trọng bằng khả năng convert code là 1, sao chép ý tưởng là 2 (học cái khôn của người khác), tư duy là 3. Đủ 3 cái trên thì ngôn ngữ lập trình khong phải là vấn đề nữa.

Chym Lợn

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

crazykid;10047 đã viết:
Đối với các malware dùng VC++ ta có thể xác định version trình biên dịch, sau khi xác định được nó thì ta có thể tìm các thư viện Dell tương ứng của trình dịch đó, lấy con debugger symbol file từ MS apply các .pdb lưu lại .idb sử dụng các plugin để so sánh idb malware và idb đó. Vô thư mục source của VS cùng version với ver của con malware và apply các name, symboy từ thư việc của VC sang idb của malware. Đánh dấu các function thư viện, các match và identical bạn sẽ lọc ra được code của coder malware đó + 1 số code inline. Dựa vào kết quả classinformer các string các hard code,.... tra google cố gắng xem liệu thằng code đó xài các source nào, kéo nó về và lại apply idb file .lib hay .dll của open source đó tìm ra các hàm. Đế đó là bạn đã lọc ra được phần nào rồi Phần còn lại code lẽ nhường cho bạn kiến thức mình nông cạn nên nói tới đây đủ gạch xây nhà ùi

Let's me see ! Giờ mình build 1 con malware và đưa nó cho cậu => cậu compare dùm mình nhé

crazykid

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Chym Lợn;10063 đã viết:
Let's me see ! Giờ mình build 1 con malware và đưa nó cho cậu => cậu compare dùm mình nhé

OK bạn

dù sao cũng có dịp nâng cao thêm kinh nghiệm vào kì nghỉ tết sắp tới

xlh1973

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Mình không có mẫu của bạn nên chưa thử, nhưng có cái phần 15p thay đổi process name một lần đó bạn, không biết bạn có thử dùng qua "DLL injection" chưa?

Phanonra

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

xlh1973;10402 đã viết:
Mình không có mẫu của bạn nên chưa thử, nhưng có cái phần 15p thay đổi process name một lần đó bạn, không biết bạn có thử dùng qua "DLL injection" chưa?

15p thay đổi process 1 lần thì có gì đâu, cho 1 cái timer lên tự countdown mỗi khi bắt đầu start working thread, gần 30 giây cuối abcxyz 1 process mới lên lấy ra từ tasklist coi cái nào chiếm số đông nhất thì clone cái đó rồi App.Terminate.
Còn dll injection thì backdoor sống đc bao lâu hả bạn ?

Với lại bây giờ hướng code mới của mình là ghi đè code lên DLL hoặc lên EXE, nghĩa là mình sẽ infect thẳng vào ex: "explorer.exe" ... mỗi khi win start lên thì start kèm code con backdoor lun, còn việc ghi đè thì tạo 1 kết nối đơn giản và gọi các module khác thông qua các dll cho nhanh & nhẹ.

e gà lắm

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Mỉa mai gì bác

ollyida

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Xem các video thấy cậu test client server chạy cùng trên 1 máy, không đúng với môi trường thực tế lắm. Cậu thử test trên 2 máy khác nhau xem?
Lý do chỉ chơi với server chắc là cần IP tĩnh để gửi nhận lệnh qua socket hả

, cậu làm thêm thằng http client nữa thì sẽ chơi được với nhiều bạn hơn?

Huh1305

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Nếu có cho em code em học hỏi với nhé.

chipeo

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

cai nay hay do, minh co dung duoc khong ?

Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Số người đang xem

Thống kê diễn đàn