EFI_COMPROMISED_DATA
-
Автор темы
- #1
be-shellcode-tester
- Шо це таке?
Как вы можете знать, батлай подгружает шеллкоды для детекта всяких приколов, этот софт их запускает и выводит все репорты, которые они генерируют
- Як це робэ
- Итерирует по дире с уже сдампленными шеллкодами, мапит их в память.
- Вызывает главную функцию и передает 'хукнутые' функции.
- Получает репорт и выводит всю инфу о нем.
- Як можэ быт полезно для меня
Представьте, что ваш п2к задетектили и вы в душе не ебете чо это, но точно не инжектор. Все что вам нужно сделать это сдампить шеллкоды и запустить через мою тулу.
- Прэемущества:
- [x] Hookless
- [x] Парсит 9/10 репортов(проверял только на eft/r6)
- [x] Обе .dll и .exe версии доступны
- [x] Декриптит енкрипченный репорт из некоторых шеллкодов
- [ ] Декриптит енкрипченный репорт из BEClient2.dll
- Як мне сдампить шеллкод
Хукнуть GetProcAddress, получить mbi ретурн аддресса и проверить, что он не в легит модуле
Так же хочу добавить, что главная функция шеллкода должна быть на 0x0 внутри бинаря, если вы дохуя не ленивый, то можете сиг добавить и пуллреквест открыть
- Github:
https://github.com/es3n1n/be-shellcode-tester
- Shellcodes:
github.com
- Credits:
es3n1n
User344
- Шо це таке?
Как вы можете знать, батлай подгружает шеллкоды для детекта всяких приколов, этот софт их запускает и выводит все репорты, которые они генерируют
- Як це робэ
- Итерирует по дире с уже сдампленными шеллкодами, мапит их в память.
- Вызывает главную функцию и передает 'хукнутые' функции.
- Получает репорт и выводит всю инфу о нем.
- Як можэ быт полезно для меня
Представьте, что ваш п2к задетектили и вы в душе не ебете чо это, но точно не инжектор. Все что вам нужно сделать это сдампить шеллкоды и запустить через мою тулу.
- Прэемущества:
- [x] Hookless
- [x] Парсит 9/10 репортов(проверял только на eft/r6)
- [x] Обе .dll и .exe версии доступны
- [x] Декриптит енкрипченный репорт из некоторых шеллкодов
- [ ] Декриптит енкрипченный репорт из BEClient2.dll
- Як мне сдампить шеллкод
Хукнуть GetProcAddress, получить mbi ретурн аддресса и проверить, что он не в легит модуле
Так же хочу добавить, что главная функция шеллкода должна быть на 0x0 внутри бинаря, если вы дохуя не ленивый, то можете сиг добавить и пуллреквест открыть
- Github:
https://github.com/es3n1n/be-shellcode-tester
- Shellcodes:
GitHub - es3n1n/be-shellcodes
Contribute to es3n1n/be-shellcodes development by creating an account on GitHub.
github.com
- Credits:
es3n1n
User344
Последнее редактирование:
