Bom nesse post vamos melhorar e aprimorar nosso shellcode loader, já que vimos no post passado que esse nosso código está muito simples.

Começo

Bom como falei nesse post vamos estar utilizando o havoc-framework, então vamos gerar uma shellcode no havoc, e na parte de configuração da carga util vamos selecionar algumas coisas como: Habilitar Inderect Syscall. Selecionar em Sleep technique Ekko. De resto não precisamos mudar mais nada, apenas vamos gerar nossa shellcode.

Bom, neste post vamos criar um shellcode loader simples, esse post é mais focado para iniciantes.

Começo

Bom, vamos começar a fazer um carregador simples e entender os princípios básicos por trás do que estamos fazendo. Primeiro, vamos criar um código simples que provavelmente será detectado como um vírus. Em seguida, vamos começar a melhorar nosso código simples para que possamos contornar o Windows Defender.

Conversão

Bom, primeiro vamos ter que utilizar algum programa para infectar o computador. Então, vou utilizar o AsyncRAT, por ser uma ferramenta de código aberto e de fácil entendimento, podendo ser executado no Windows. Como o AsyncRAT não tem a capacidade de criar uma payload em formato binário, podemos utilizar o projeto do Donut para transformar a payload gerada pelo AsyncRAT em um binário.
Caso queira ver mais sobre, leia meu post DLL-LOADER.

Podemos executar um programa na memória apartir de uma DLL?

A resposta é sim, podemos fazer isso, e não é muito difícil, Para isso, podemos usar um projeto que transforma nosso executável .NET em um binário. O nome do projeto é Donut. sugiro olhar tudo que esse projeto faz, porque ele faz muito mais do que apenas converter o executável em binário.

Não precisamos nos preocupar muito com os argumentos por agora. Vamos primeiro converter o executável para binário.

Bom, neste post irei compartilhar um artigo meu feito em 2023 para um site que não está mais online, mas que salvei no meu HD. Neste post, vou abordar como ocultar um processo utilizando a libMinHook.

O Que é API Hooking?

API Hooking é uma técnica usada para interceptar chamadas de funções de APIs em um software. Isso permite modificar redirecionar, ou monitorar chamadas de funções específicas.