Auteur Sujet: Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)  (Lu 38437 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne Teeknofil

  • Contributeur de Kali-linux.fr
  • Membre sérieux
  • *****
  • Messages: 368
  • +28/-6
    • https://www.youtube.com/watch?v=R-zrnglcNuA&list=PLeu60bO1b61HE25L8Sz-cC7xjFupaSuWc
Re : Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)
« Réponse #45 le: 07 février 2017 à 18:48:04 »
Le truc c'est quand vous compiler avec visual studio il y a l'option /nologo dans les option de compilation. Quand compiler avec visual studio ou un équivalant  vous devez utiliser l'option /nologo ou son équivalent voir /d:trace. Dans le pire des cas cela résous le problème de avira et autre qui utilise la version du compilateur comme signature.

Citer
Tu peux aussi utiliser la commande "migrate" de meterpreter pour ce genre de problème.

Tu peux la mettre à la création du shellcode

PrependMigrate=true
Bye.
Hacking Debutant - Black Hat Ackademy : https://www.udemy.com/draft/2365526/?couponCode=PROMOTION

Hors ligne EinderJam

  • Membre Junior
  • *
  • Messages: 16
  • +0/-0
Re : Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)
« Réponse #46 le: 07 février 2017 à 19:33:42 »
salut Teeknofil ! merci de ta réponse,mais j'ai vérifié,dans les options du projet,j'ai bien "delete startup banner" réglé sur "yes(/nologo),et toujours ce souci de "has stopped working"...

Hors ligne WK

  • Contributeur de Kali-linux.fr
  • Membre régulier
  • *****
  • Messages: 188
  • +19/-1
Re : Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)
« Réponse #47 le: 09 février 2017 à 12:54:40 »
Code pour enlever la fenêtre cmd :
HWND hwnd=GetForegroundWindow ();
ShowWindow (hwnd,SW_HIDE);

A utiliser en début de main, dans une bête console application.

N.B : inclure windows.h
« Modifié: 09 février 2017 à 12:56:41 par WK »

Hors ligne EinderJam

  • Membre Junior
  • *
  • Messages: 16
  • +0/-0
Re : Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)
« Réponse #48 le: 10 février 2017 à 09:49:46 »
Effectivement ça marche,la fenêtre cmd apparaît brièvement avant de disparaître  ;)

Hors ligne EinderJam

  • Membre Junior
  • *
  • Messages: 16
  • +0/-0
Re : Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)
« Réponse #49 le: 01 juin 2017 à 18:53:25 »
Rebonjour a tout le monde,ces jours-ci je suis revenu sur les codes du cher WK,pour m'apercevoir que je n'avais  jamais réussi a compiler l'AV_Fucker (le bien-nommé  ;D) avec visual studio ! j'étais resté sur cette erreur :

j'ai donc creusé pendant plusieurs jours,demandé de l'aide,et j'ai trouvé la source du problème,c'est en 3 lettres,j'ai nommé le DEP ! https://msdn.microsoft.com/en-us/library/ms235442.aspx
Il nous empêche d'exécuter du code dans la section .data,ce qui est justement le but de l'av_fucker !
En attendant de trouver le moyen de rendre mon code compatible DEP,il y a une solution,paramétrer le linker de visual studio :
Projet->Propriétés->Editeur de liens ->Avancé->mettre Prévention de l'execution des données(DEP) sur "NON (/NXCOMPAT:NO)
ET....
tadaaa ! : https://nodistribute.com/result/iAv9he8l2H5oRINwjKruBJ (avec visual studio 2017)
(le même code,compilé avec codeblocks et GNU GCC obtient le même score)

Edit:le compilateur minGW,sous kali linux 2017.1 dans sa version 6.3.0,arrive a compiler du FUD lui aussi ! peut etre les antivirus ont-il changé depuis que WK a fait ses tests ?
« Modifié: 03 juin 2017 à 11:46:06 par EinderJam »

Hors ligne WK

  • Contributeur de Kali-linux.fr
  • Membre régulier
  • *****
  • Messages: 188
  • +19/-1
Rebonjour a tout le monde,ces jours-ci je suis revenu sur les codes du cher WK,pour m'apercevoir que je n'avais  jamais réussi a compiler l'AV_Fucker (le bien-nommé  ;D) avec visual studio ! j'étais resté sur cette erreur :

j'ai donc creusé pendant plusieurs jours,demandé de l'aide,et j'ai trouvé la source du problème,c'est en 3 lettres,j'ai nommé le DEP ! https://msdn.microsoft.com/en-us/library/ms235442.aspx
Il nous empêche d'exécuter du code dans la section .data,ce qui est justement le but de l'av_fucker !
En attendant de trouver le moyen de rendre mon code compatible DEP,il y a une solution,paramétrer le linker de visual studio :
Projet->Propriétés->Editeur de liens ->Avancé->mettre Prévention de l'execution des données(DEP) sur "NON (/NXCOMPAT:NO)
ET....
tadaaa ! : https://nodistribute.com/result/iAv9he8l2H5oRINwjKruBJ (avec visual studio 2017)
(le même code,compilé avec codeblocks et GNU GCC obtient le même score)

Edit:le compilateur minGW,sous kali linux 2017.1 dans sa version 6.3.0,arrive a compiler du FUD lui aussi ! peut etre les antivirus ont-il changé depuis que WK a fait ses tests ?

Wow, je repasse sur le forum et je vois ca ! Merci d'entretenir mon travail. Peux-tu m'en dire plus en privé sur les nouveautés de MinGW ?

Hors ligne HomardBoy

  • Nouvel inscrit
  • Messages: 8
  • +1/-0
Re : Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)
« Réponse #51 le: 11 août 2017 à 16:30:18 »
je veut vraiment pas faire le rabat-joie, mais vous pouvez compiler sans vous prendre la tête en une ligne sous VS  8)
Ouvrez le dossier Visual Studio Tools, puis une console de développeur.
Naviguez jusqu'a votre fichier C, et ensuite ... ROULEMENT DE TAMBOURS !!!!

> cl Nom_Du_Fichier.c

C'est tout !

Vous aurez votre .obj et votre .exe, sans avoir à bidouiller  8)

Hors ligne EinderJam

  • Membre Junior
  • *
  • Messages: 16
  • +0/-0
Re : Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)
« Réponse #52 le: 11 août 2017 à 17:50:37 »
Merci l'ami, essaie avec le code dont on parle, tu auras..... roulement de tambour.....machin.exe has stopped working !
On connaît bien sûr la ligne de commande, mais faut pas oublier les flags nécessaires

Hors ligne WK

  • Contributeur de Kali-linux.fr
  • Membre régulier
  • *****
  • Messages: 188
  • +19/-1
Re : Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)
« Réponse #53 le: 11 août 2017 à 21:18:46 »
La meilleure méthode reste selon moi Mingw sous windows, VS ne m'a attiré que des complications au final.

Hors ligne EinderJam

  • Membre Junior
  • *
  • Messages: 16
  • +0/-0
Re : Tuto/Article : À la recherche du Trojan FUD (ShellCode et Langage C)
« Réponse #54 le: 11 août 2017 à 21:47:04 »
Et tu l'utilises en cli ou dans un IDE comme code blocks par exemple ? Et au niveau du ratio de détection ?

Hors ligne WK

  • Contributeur de Kali-linux.fr
  • Membre régulier
  • *****
  • Messages: 188
  • +19/-1
Et tu l'utilises en cli ou dans un IDE comme code blocks par exemple ? Et au niveau du ratio de détection ?

Avec code::blocks pour enchainer mais ca change rien.
Niveau détection j'ai du 0 sur NoDistribute et VirusTotal la plupart du temps. Parfois il y a un AV chinois excité du slip qui joue les faux positif mais ca ..  ::)