C# Process Protection RunPE

Durum
Üzgünüz bu konu cevaplar için kapatılmıştır...

sw1ndler

Katılımcı Üye
29 Şub 2020
592
136
Selam gençler gezerken bulduğum process'i protectleyen runpe buldum
bu protect processin nasıl çalıştığını da yazarsanız iyi olur
hips geçebilir gibime geliyo hadi bakalım :D
 

PS1K0

Uzman üye
6 Ağu 2015
1,143
14
root@kali
C# değil bu kodlar vb net. Biraz inceledim aşağıdaki kodlardan pek bişey anlamadım en üstteki kodlarda vmware yada virtual box üzerinden açıldı ise kendini kapatıyor. sonra kendisini startupa ekliyor.
'Protect process' ve 'hips' den kastın ne? açıklarsan çok memnun olurum.
 

sw1ndler

Katılımcı Üye
29 Şub 2020
592
136
C# değil bu kodlar vb net. Biraz inceledim aşağıdaki kodlardan pek bişey anlamadım en üstteki kodlarda vmware yada virtual box üzerinden açıldı ise kendini kapatıyor. sonra kendisini startupa ekliyor.
'Protect process' ve 'hips' den kastın ne? açıklarsan çok memnun olurum.
Kusura bakmayın c# demişim vb net zaten ikisini aktif kullandığımdan karıştırıyorum.

Şimdi hocam hips memory scanner falan inceliyor ya rami falan, protect procces yaptıgımız zaman
koruyor ve bakmasını engelliyor gibime geldi bende tam anlamadım.

Birde kullanım ekleseydin iyi olurdu
direk fonksiyonda inject path var oraya regasm yaz orada data ya da her neyse oraya da direk ratın bytesini koy
 

Keinx

Yeni üye
23 Haz 2020
14
0
Kusura bakmayın c# demişim vb net zaten ikisini aktif kullandığımdan karıştırıyorum.

Şimdi hocam hips memory scanner falan inceliyor ya rami falan, protect procces yaptıgımız zaman
koruyor ve bakmasını engelliyor gibime geldi bende tam anlamadım.


direk fonksiyonda inject path var oraya regasm yaz orada data ya da her neyse oraya da direk ratın bytesini koy
Hocam inject path yerini buldum ancak datayı bulamadım. Rica etsem işaretler misiniz?
 

xxtra

Yeni üye
27 Haz 2022
47
43
Öncelikle kodlar C# değil VB.NET ile yazılmış -çağ öncesi bir dil her neyse-. Kod zaten stub halinde verilmiş bu kodu ya kendi encryptor yazılımınızın içine sokacaksınız ya da stub server bağlantısı ile otomatize bir hale dökeceksiniz. Bazı satırların özellikle % ifadeleri ve yorum satırları ile yazılmasının sebebi bu. En baştaki AntiVM işlemini açıklamaya gerek olduğunu düşünmüyorum. Onun öncesinde yine % ifadeleri ile yazılmış AntiSandboxie olduğunu görüyorsunuz fakat içerde onunla alakalı bir kod yok. İşte bunun anlamı adamın stub kodu olduğu yani bunu otomatikleştirmiş olabilir bir yerde. '%Startup% satırlarından kastı registry keyini düzelterek kendini başlangıca ekliyor.

Zaten az çok bakmışsanız asıl olayın HandleRun() fonksiyonunda döndüğünü anlıyorsunuz.
Dim SI As New STARTUP_INFORMATION Dim PI As New PROCESS_INFORMATION

Buradaki iki satır tamamen CreateProcess apisine istek göndermek üzere hazırlanacak olan parametrelerin tanımlanması. Bunun sonrasında da ilgili yapı içerisindeki değişkenlere bazı atamalar yapılmış.

Arkadaşlar devamındaki kodun tamamını satır satır açıklayamayacağım. Fakat şunu bilmenizi isterim ki yeni bir method değil PROCESS HOLLOWING
Process Hollowing, RunPE - Unprotect Project

İçerde yapılan ImageBase + 60 veya Marshal işleminden hemen sonraki 52 numarası...(PE Structure araştırınız...) Hepsinin bir anlamı var ve hafıza üzerinde hesaplama yapıyorlar. Çağ dışı dillere bağlı kalmadan daha iyi okuyabilmeniz için üstteki linki paylaştım. İyi çalışmalar
 

sw1ndler

Katılımcı Üye
29 Şub 2020
592
136
Öncelikle kodlar C# değil VB.NET ile yazılmış -çağ öncesi bir dil her neyse-. Kod zaten stub halinde verilmiş bu kodu ya kendi encryptor yazılımınızın içine sokacaksınız ya da stub server bağlantısı ile otomatize bir hale dökeceksiniz. Bazı satırların özellikle % ifadeleri ve yorum satırları ile yazılmasının sebebi bu. En baştaki AntiVM işlemini açıklamaya gerek olduğunu düşünmüyorum. Onun öncesinde yine % ifadeleri ile yazılmış AntiSandboxie olduğunu görüyorsunuz fakat içerde onunla alakalı bir kod yok. İşte bunun anlamı adamın stub kodu olduğu yani bunu otomatikleştirmiş olabilir bir yerde. '%Startup% satırlarından kastı registry keyini düzelterek kendini başlangıca ekliyor.

Zaten az çok bakmışsanız asıl olayın HandleRun() fonksiyonunda döndüğünü anlıyorsunuz.
Dim SI As New STARTUP_INFORMATION Dim PI As New PROCESS_INFORMATION

Buradaki iki satır tamamen CreateProcess apisine istek göndermek üzere hazırlanacak olan parametrelerin tanımlanması. Bunun sonrasında da ilgili yapı içerisindeki değişkenlere bazı atamalar yapılmış.

Arkadaşlar devamındaki kodun tamamını satır satır açıklayamayacağım. Fakat şunu bilmenizi isterim ki yeni bir method değil PROCESS HOLLOWING
Process Hollowing, RunPE - Unprotect Project

İçerde yapılan ImageBase + 60 veya Marshal işleminden hemen sonraki 52 numarası...(PE Structure araştırınız...) Hepsinin bir anlamı var ve hafıza üzerinde hesaplama yapıyorlar. Çağ dışı dillere bağlı kalmadan daha iyi okuyabilmeniz için üstteki linki paylaştım. İyi çalışmalar
Dostum bunları bende biliyorum, protect process komutu ne işe yarıyor diye soruyorum bu bir method falan diye lafta etmedim direk bu runpe yazdım runpe method mudur allah aşkına, sadece protect process komutu ne işe yarıyor ve ben çalıştramadım diye attım.


Sonra bana uyarı atıyorsunuz yetkililer. O kadar şey yazmışım adam ilk paragrafı okumuş gerisine hiç bakmamış bile yani şimdi ben buna nasıl dangalak demeyeyim.

sayın sw1ndler, akıl sağlığının yerinde olmadığını düşünerek tekrar söyleyeceğim. Stub kodlar içerisinde kullanılan tekniğin gerçek ismi PROCESS HOLLOWING protect process falan yok yani adam kendi fonksiyon oluşturmuş. LİNK ATTIM LİNKE DE Mİ BAKMADIN BE ADAM!..
'%Process_Protection%
'%Process_Protection% ProtectProcess(0)
'%Process_Protection% <DllImport("kernel32.dll", EntryPoint:="GetCurrentProcess"), SuppressUnmanagedCodeSecurity> _
'%Process_Protection% Private Shared Function GetCurrentProcess() As IntPtr
'%Process_Protection% End Function



'%Process_Protection% <DllImport("ntdll.dll", EntryPoint:="ZwSetInformationProcess"), SuppressUnmanagedCodeSecurity> _
'%Process_Protection% Private Shared Sub ZwSetInformationProcess( _
'%Process_Protection% ByVal Handle As Integer, _
'%Process_Protection% ByVal ProcessIOPriority As Integer, _
'%Process_Protection% ByRef SignedValue As Integer, _
'%Process_Protection% ByVal ProcessInformationLenght As Integer)
'%Process_Protection% End Sub
'%Process_Protection% <DllImport("kernel32.dll")> _
'%Process_Protection% Public Shared Function OpenProcess(processAccess As Integer, bInheritHandle As Boolean, processId As Integer) As IntPtr
'%Process_Protection% Function
'%Process_Protection% Public Shared Sub ProtectProcess(PID As Integer)
'%Process_Protection% Dim aaaaaaaaaaaaaaa As UInteger = 2147545385
'%Process_Protection% If PID = 0 Then
'%Process_Protection% ZwSetInformationProcess(GetCurrentProcess(), 33, aaaaaaaaaaaaaaa, 4)
'%Process_Protection% Else
'%Process_Protection% ZwSetInformationProcess(OpenProcess(512, True, PID), 33, aaaaaaaaaaaaaaa, 4)
'%Process_Protection% End If


'%Process_Protection% End Sub
 
Moderatör tarafında düzenlendi:

xxtra

Yeni üye
27 Haz 2022
47
43
'%Process_Protection%
'%Process_Protection% ProtectProcess(0)
'%Process_Protection% <DllImport("kernel32.dll", EntryPoint:="GetCurrentProcess"), SuppressUnmanagedCodeSecurity> _
'%Process_Protection% Private Shared Function GetCurrentProcess() As IntPtr
'%Process_Protection% End Function



'%Process_Protection% <DllImport("ntdll.dll", EntryPoint:="ZwSetInformationProcess"), SuppressUnmanagedCodeSecurity> _
'%Process_Protection% Private Shared Sub ZwSetInformationProcess( _
'%Process_Protection% ByVal Handle As Integer, _
'%Process_Protection% ByVal ProcessIOPriority As Integer, _
'%Process_Protection% ByRef SignedValue As Integer, _
'%Process_Protection% ByVal ProcessInformationLenght As Integer)
'%Process_Protection% End Sub
'%Process_Protection% <DllImport("kernel32.dll")> _
'%Process_Protection% Public Shared Function OpenProcess(processAccess As Integer, bInheritHandle As Boolean, processId As Integer) As IntPtr
'%Process_Protection% Function
'%Process_Protection% Public Shared Sub ProtectProcess(PID As Integer)
'%Process_Protection% Dim aaaaaaaaaaaaaaa As UInteger = 2147545385
'%Process_Protection% If PID = 0 Then
'%Process_Protection% ZwSetInformationProcess(GetCurrentProcess(), 33, aaaaaaaaaaaaaaa, 4)
'%Process_Protection% Else
'%Process_Protection% ZwSetInformationProcess(OpenProcess(512, True, PID), 33, aaaaaaaaaaaaaaa, 4)
'%Process_Protection% End If


'%Process_Protection% End Sub
heh, şimdi attığım linke basıp python kodunu okur musun ne yapmış diye
 
Durum
Üzgünüz bu konu cevaplar için kapatılmıştır...
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.