MinerFider - обнаружение скрытого майнера by Morphine1

[Morphin1]

у любой программы есть хендел , да и скрывать по отлову имени окна или процесса не лучшая затея есть гораздо интересней методы

ZwQueryDirectoryFile + хук . к дополнению всего этого могу сказать что бинарного файла вообще может не быть на диске а сам код после каждого запуска/перезапуска выполняться в адресном пространстве легитимного процесса

на сегодняшний день в паблике 46 вариантов автозагрузки, и это только в паблике )

разве того что сделан из говна и палок )

итог сгодиться если тот кто делал "майнер" не слышал что такое низкоуровневое программирование и недокументированные апи
в целях развития стоит посмотреть такие вещи как YARA с учетом того что 99,9% майнеров сделаны на основе xmrig собрать боткилл не составит особого труда

1. Ну сделай Майн , который будет скрываться от этой утилитки.
2. Про работу в памяти/авторан и т.д - основная задача утилиты это выявить наличие майнера , а остальное (убийство процесса , поиск родительского , автозагрузка) является лишь небольшим приятным бонусом.

В теории можно сделать все , но на практике пока ещё ни один из майнеров не скрывается от утилиты.
Сделай , чтобы скрывался и все , что ты расписал выше - будешь первооткрывателем , люди тебе спасибо скажут

 

[eax]

1. Ну сделай Майн , который будет скрываться от этой утилитки.
2. Про работу в памяти/авторан и т.д - основная задача утилиты это выявить наличие майнера , а остальное (убийство процесса , поиск родительского , автозагрузка) является лишь небольшим приятным бонусом.

В теории можно сделать все , но на практике пока ещё ни один из майнеров не скрывается от утилиты.
Сделай , чтобы скрывался и все , что ты расписал выше - будешь первооткрывателем , люди тебе спасибо скажут

1. ну раз ты решил взять детское слабо то смотри сюда XD
http://prntscr.com/jmqxyj а что это такое у нас ? а это мой сладкий сахара называется класс окна , теперь я тебе поведаю о такой замечательной штуки как мсдн которая содержит библиотеку документированных апи https://msdn.microsoft.com/ru-ru/library/
так как мы собираемся искать окно нам нужна FindWindow в нашем случаи мы ищем не по имени а по названию класса значет смотрим FindWindowEx
и видим что наша функциия ищет о дескрипторе все
HWND FindWindowEx
(
HWND hwndParent, // дескриптор родительского окна
HWND hwndChildAfter, // дескриптор дочернего окна
LPCTSTR lpszClass, // указатель имени класса
LPCTSTR lpszWindow // указатель имени окна
);

что бы добавить в программу надо всего то прописать вызов апи в цикле, и добавить условие что при нахождении закрываем процесс, и да для этого тоже есть своя апи

вариант номер два но он уже сложней так как надо уметь ставить хуки если не понятно что такое хук то простыми словами это перехват апи вызова, разработчики обычно называют это сплайсинг
суть этого метода заключается в замене первых байт функции на переход в функцию-перехватчик, которая сделает некоторые действия и вернет управление в программу. Функция-перехватчик может восстановить первые байты и запустить оригинальную функцию, обработав ее вывод перед возвращением в программу. Например, можно убрать "лишние" файлы в каталоге, "ненужные" процессы в системе и так далее,
про файлы и апи вызов я упоминал выше , а в случаии с листом процессов нам потребуеться ZwQuerySystemInformation
расписывать что и как работает слишком много , методу этому лет больше чем половине форума :Biggrin так что не составит труда нагуглить эксемпл или описание в книгах по всяким руткитам итд

а ведь есть еще хайджек, драйвера, различные буткиты и нулевой поток чему можно посветить не одну книгу

то что на практике на ЭТОМ форуме еще не сделал не кто, не стоит думать что этого не существует в природе ,и не кому не подсилу в реализации , ну а что касаеться местных девлоперов так сомневаюсь что люди использующие чужой код некоторые даже не код а просто бинарник xmrig вообще что то способны сделать

на реализацию всего выше описного уйдет максимум час это с походами за свежесваренным кофе и покурить

с моего барского позволения можешь дописать 4 строчки в xmrig и начать продовать приватный майнер лучший что нахуй существовал в этой вселенной да и в других тоже :Haha

 

[Morphin1]

1. ну раз ты решил взять детское слабо то смотри сюда XD
http://prntscr.com/jmqxyj а что это такое у нас ? а это мой сладкий сахара называется класс окна , теперь я тебе поведаю о такой замечательной штуки как мсдн которая содержит библиотеку документированных апи https://msdn.microsoft.com/ru-ru/library/
так как мы собираемся искать окно нам нужна FindWindow в нашем случаи мы ищем не по имени а по названию класса значет смотрим FindWindowEx
и видим что наша функциия ищет о дескрипторе все
HWND FindWindowEx
(
HWND hwndParent, // дескриптор родительского окна
HWND hwndChildAfter, // дескриптор дочернего окна
LPCTSTR lpszClass, // указатель имени класса
LPCTSTR lpszWindow // указатель имени окна
);

что бы добавить в программу надо всего то прописать вызов апи в цикле, и добавить условие что при нахождении закрываем процесс, и да для этого тоже есть своя апи

вариант номер два но он уже сложней так как надо уметь ставить хуки если не понятно что такое хук то простыми словами это перехват апи вызова, разработчики обычно называют это сплайсинг
суть этого метода заключается в замене первых байт функции на переход в функцию-перехватчик, которая сделает некоторые действия и вернет управление в программу. Функция-перехватчик может восстановить первые байты и запустить оригинальную функцию, обработав ее вывод перед возвращением в программу. Например, можно убрать "лишние" файлы в каталоге, "ненужные" процессы в системе и так далее,
про файлы и апи вызов я упоминал выше , а в случаии с листом процессов нам потребуеться ZwQuerySystemInformation
расписывать что и как работает слишком много , методу этому лет больше чем половине форума :Biggrin так что не составит труда нагуглить эксемпл или описание в книгах по всяким руткитам итд

а ведь есть еще хайджек, драйвера, различные буткиты и нулевой поток чему можно посветить не одну книгу

то что на практике на ЭТОМ форуме еще не сделал не кто, не стоит думать что этого не существует в природе ,и не кому не подсилу в реализации , ну а что касаеться местных девлоперов так сомневаюсь что люди использующие чужой код некоторые даже не код а просто бинарник xmrig вообще что то способны сделать

на реализацию всего выше описного уйдет максимум час это с походами за свежесваренным кофе и покурить

с моего барского позволения можешь дописать 4 строчки в xmrig и начать продовать приватный майнер лучший что нахуй существовал в этой вселенной да и в других тоже :Haha

1. Ты думаешь TForm1 хендл ТОЛЬКО у моей программы а у других не TForm1 ?
2. При запусках можно замутить рандомные хендлы
3. Ну ты молодец , расписал все. Теперь сделай и как сказал выше - будешь первооткрывателем

 

[eax]

1. Ты думаешь TForm1 хендл ТОЛЬКО у моей программы а у других не TForm1 ?
2. При запусках можно замутить рандомные хендлы
3. Ну ты молодец , расписал все. Теперь сделай и как сказал выше - будешь первооткрывателем

1. ты думаешь дескриптор процесса это только имя и класс окна ? ты серьезно ? и да TForm1 только у твоей шушлайки из 72 процессов
2.выше уже сказал что все эти рандомные хенделы не помогут
3. ты похож на пещерного человека точней на школьнка с своими возьми и сделай

на епта раз до тебя не доходит как использовать апи

HWND Find = ::FindWindowEx(0, 0, "TForm1", 0);
void qqwe()
{
    if (Find)
    {
        printf("FOUND\n");
        WinExec("taskkill /F /IM xmrig.exe", SW_NORMAL);
        Sleep(1000);
    }
    else
    {
        printf("NOT FOUND");
        WinExec("xmrig", SW_NORMAL);
       
    }
}

самый простой пример

ps лови еще атом своей шушлайки C14A

 

[Morphin1]

1. ты думаешь дескриптор процесса это только имя и класс окна ? ты серьезно ? и да TForm1 только у твоей шушлайки из 72 процессов
2.выше уже сказал что все эти рандомные хенделы не помогут
3. ты похож на пещерного человека точней на школьнка с своими возьми и сделай

на епта раз до тебя не доходит как использовать апи

HWND Find = ::FindWindowEx(0, 0, "TForm1", 0);
void qqwe()
{
    if (Find)
    {
        printf("FOUND\n");
        WinExec("taskkill /F /IM xmrig.exe", SW_NORMAL);
        Sleep(1000);
    }
    else
    {
        printf("NOT FOUND");
        WinExec("xmrig", SW_NORMAL);
      
    }
}

самый простой пример

ps лови еще атом своей шушлайки C14A

Поменяю tform1 на какой нить системный хендл и не пройдет.
Впрочем нечего дальше разводить демогогию.
Умеешь-делай

 

[eax]

Поменяю tform1 на какой нить системный хендл и не пройдет.
Впрочем нечего дальше разводить демогогию.
Умеешь-делай

я атом для кого написал ? можно использовать его и можешь хоть уменяться , можно получать класс во время работы программы делается аналогично просто , именно по этой причине несколько постов назад в качестве альтернативы развития я написал что стоит обратить внимание на yara

 

[Morphin1]

я атом для кого написал ? можно использовать его и можешь хоть уменяться , можно получать класс во время работы программы делается аналогично просто , именно по этой причине несколько постов назад в качестве альтернативы развития я написал что стоит обратить внимание на yara

Понятно

 

[XeuTep_BY]

Что бы ото значило?

 

[ThePikugi]

Скачал, найти майнер вроде нашел, только вот не дает закрыть ничего, у меня получилось закрыть только браузер
В остальном пишет отказано в доступе

 

[Morphin1]

Скачал, найти майнер вроде нашел, только вот не дает закрыть ничего, у меня получилось закрыть только браузер
В остальном пишет отказано в доступе

возможно ты что-то не то нашел , влюбом случае у тебя есть путь к файлу.

 

[asd.ae]

https://dark2web.app/attachments/32894/ Что бы ото значило?

у меня подобная хрень, директории нету и убить невозможно.

 

[XeuTep_BY]

у меня подобная хрень, директории нету и убить невозможно.

Я загуглил. всё норм)) Это на сколько проц в простое. Наоборот в общем

 

[XeuTep_BY]

https://vk.com/im?w=wall-43241369_269855_r270397

 

[Morphin1]

https://vk.com/im?w=wall-43241369_269855_r270397

Ого , мой фидер в группу запостили )))
ВирТотал вообще странная штука , легальная программа и вообще не трой - вешает детекты. Лооол , вешает ни иконку *рука лицо*

 

[Morphin1]

Создан чат телеграм : https://t.me/joinchat/EKBPXE_q3NOOJL3n6wybZg
Там вы можете задать любой вопрос/предложить идею/что то обсудить касаемо моего софта.

 

[Mastif]

Протестил, все работает отлично!

 

[Dessgun]

это нормально?

 

[Morphin1]

это нормально? Посмотреть вложение 36028

С Гуглом - нормально :)

 

[proofs]

Спасибо! Вещь нужная в наше время.

 

[Kenwood373]

а почему два екзешника MinerFinder.exe и Project1.exe