Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Delphi đơn giản hả cậu ? cậu RCE trên Delphi bao giờ chưa :-s

Mình cũng may mắn được RCE các chương trình delphi 1 vài lần thui bạn Các chương trình viết bằng Delphi làm dân RCE vui ở chỗ các trình dịch của nó đều dựa chuẩn Object Pascal nên các cơ chế gần như nhau ( các trình biên dịch gần đây nhất thì chưa tiếp cận nên chưa biết có thay đổi gì không ) 1 điều nữa là có khá nhiều công cụ rất mạnh hỗ trợ RCE delphi. Kaspersky Lab và CMC đều có cung cấp nhiều công cụ như thế. hơn nữa khi RCE delphi ta đỡ được những công đoạn như đau đầu reformat các exception handler. Lọc code code inline,.... Mặc dù khi nó code bằng C/C++ thì ta có thể lọc ra code của nó sau khi so sánh các open source tuy nhiên RCE Delphi vẫn rất hấp dẫn cá nhân mình thấy thế

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

asNói như bạn thì IDE C/C++, Perl và nhiều nữa đều có thể code được asm bạn ạ just for kid

Đang nói về IDE Delphi ... có động chạm hay xịt chao gì liên quan tới IDE khác đâu bạn ?

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Mình cũng may mắn được RCE các chương trình delphi 1 vài lần thui bạn Các chương trình viết bằng Delphi làm dân RCE vui ở chỗ các trình dịch của nó đều dựa chuẩn Object Pascal nên các cơ chế gần như nhau ( các trình biên dịch gần đây nhất thì chưa tiếp cận nên chưa biết có thay đổi gì không ) 1 điều nữa là có khá nhiều công cụ rất mạnh hỗ trợ RCE delphi. Kaspersky Lab và CMC đều có cung cấp nhiều công cụ như thế. hơn nữa khi RCE delphi ta đỡ được những công đoạn như đau đầu reformat các exception handler. Lọc code code inline,.... Mặc dù khi nó code bằng C/C++ thì ta có thể lọc ra code của nó sau khi so sánh các open source tuy nhiên RCE Delphi vẫn rất hấp dẫn cá nhân mình thấy thế

So sánh kiểu gì vậy bạn . Tell me ;

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Đối với các malware dùng VC++ ta có thể xác định version trình biên dịch, sau khi xác định được nó thì ta có thể tìm các thư viện Dell tương ứng của trình dịch đó, lấy con debugger symbol file từ MS apply các .pdb lưu lại .idb sử dụng các plugin để so sánh idb malware và idb đó. Vô thư mục source của VS cùng version với ver của con malware và apply các name, symboy từ thư việc của VC sang idb của malware. Đánh dấu các function thư viện, các match và identical bạn sẽ lọc ra được code của coder malware đó + 1 số code inline. Dựa vào kết quả classinformer các string các hard code,.... tra google cố gắng xem liệu thằng code đó xài các source nào, kéo nó về và lại apply idb file .lib hay .dll của open source đó tìm ra các hàm. Đế đó là bạn đã lọc ra được phần nào rồi Phần còn lại code lẽ nhường cho bạn kiến thức mình nông cạn nên nói tới đây đủ gạch xây nhà ùi

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Đang nói về IDE Delphi ... có động chạm hay xịt chao gì liên quan tới IDE khác đâu bạn ?

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Mình không biết các bác phân tích thế nào, ngoài delphi và asm ... ngôn ngữ khác mình chưa bao giờ code.
Còn về thế mạnh, mình từng thử chia ra 2 team , team mình chỉ 1 người, team kia 5 người với đề tài code con backdoor đơn giản với gui giao diện và ghi lại keylog trả về server, server xâu ra danh sách IP , chuột phải vào có thể xem log keylogger.
> Thời gian hoàn thành của mình là khoảng 1 tiếng
> Bên kia thì mất 1 ngày

Thích code delphi vì IDE hỗ trợ mạnh, đơn giản, ngôn ngữ sạch thuần túy, dễ nhìn, cơ bản.

Khác nhau ... tại sao người code C/C++/C#/Java đông hơn hẳn so với delphi ?
> C/C++/C#/Java -> trường lớp dạy, microsoft hậu đãi
-> Delphi trường lớp ít ai dạy , microsoft ko hậu đãi

> C/C++/C#/Java -> nhiều ví dụ, cộng đồng lớn, làm việc mang tính chất teamwork
-> Delphi ít ví dụ nhưng nếu có kiến thức về C/C++/C#/Java vẫn có thể sao chép ý tưởng rồi chuyển đổi về delphi, có tính chất solo programmer

> C/C++/C#/Java rất mạnh toàn cầu, mạnh ở VN
-> Delphi cực mạnh ở trung quốc, nga, châu âu (thêm bí mật nho nhỏ, các đại ka code virus khủng như flame, ... đều sử dụng delphi) -> học hỏi thêm kinh nghiệm.

Chốt: Ngôn ngữ lập trình không quan trọng bằng khả năng convert code là 1, sao chép ý tưởng là 2 (học cái khôn của người khác), tư duy là 3. Đủ 3 cái trên thì ngôn ngữ lập trình khong phải là vấn đề nữa.

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Đối với các malware dùng VC++ ta có thể xác định version trình biên dịch, sau khi xác định được nó thì ta có thể tìm các thư viện Dell tương ứng của trình dịch đó, lấy con debugger symbol file từ MS apply các .pdb lưu lại .idb sử dụng các plugin để so sánh idb malware và idb đó. Vô thư mục source của VS cùng version với ver của con malware và apply các name, symboy từ thư việc của VC sang idb của malware. Đánh dấu các function thư viện, các match và identical bạn sẽ lọc ra được code của coder malware đó + 1 số code inline. Dựa vào kết quả classinformer các string các hard code,.... tra google cố gắng xem liệu thằng code đó xài các source nào, kéo nó về và lại apply idb file .lib hay .dll của open source đó tìm ra các hàm. Đế đó là bạn đã lọc ra được phần nào rồi Phần còn lại code lẽ nhường cho bạn kiến thức mình nông cạn nên nói tới đây đủ gạch xây nhà ùi

Let's me see ! Giờ mình build 1 con malware và đưa nó cho cậu => cậu compare dùm mình nhé

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Let's me see ! Giờ mình build 1 con malware và đưa nó cho cậu => cậu compare dùm mình nhé

OK bạn dù sao cũng có dịp nâng cao thêm kinh nghiệm vào kì nghỉ tết sắp tới

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Mình không có mẫu của bạn nên chưa thử, nhưng có cái phần 15p thay đổi process name một lần đó bạn, không biết bạn có thử dùng qua "DLL injection" chưa?

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Mình không có mẫu của bạn nên chưa thử, nhưng có cái phần 15p thay đổi process name một lần đó bạn, không biết bạn có thử dùng qua "DLL injection" chưa?

15p thay đổi process 1 lần thì có gì đâu, cho 1 cái timer lên tự countdown mỗi khi bắt đầu start working thread, gần 30 giây cuối abcxyz 1 process mới lên lấy ra từ tasklist coi cái nào chiếm số đông nhất thì clone cái đó rồi App.Terminate.
Còn dll injection thì backdoor sống đc bao lâu hả bạn ?

Với lại bây giờ hướng code mới của mình là ghi đè code lên DLL hoặc lên EXE, nghĩa là mình sẽ infect thẳng vào ex: "explorer.exe" ... mỗi khi win start lên thì start kèm code con backdoor lun, còn việc ghi đè thì tạo 1 kết nối đơn giản và gọi các module khác thông qua các dll cho nhanh & nhẹ.

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Mỉa mai gì bác

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Xem các video thấy cậu test client server chạy cùng trên 1 máy, không đúng với môi trường thực tế lắm. Cậu thử test trên 2 máy khác nhau xem?
Lý do chỉ chơi với server chắc là cần IP tĩnh để gửi nhận lệnh qua socket hả , cậu làm thêm thằng http client nữa thì sẽ chơi được với nhiều bạn hơn?

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

Nếu có cho em code em học hỏi với nhé.

 

Re: Chuẩn virus mới hoàn thành sau hơn 5 ngày ngồi code ...

cai nay hay do, minh co dung duoc khong ?