Morphin1
Резидент
- Статус
- offline
- Регистрация
- 06.04.2018
- Сообщения
- 171
- Репутация
- 126
у любой программы есть хендел , да и скрывать по отлову имени окна или процесса не лучшая затея есть гораздо интересней методы
ZwQueryDirectoryFile + хук . к дополнению всего этого могу сказать что бинарного файла вообще может не быть на диске а сам код после каждого запуска/перезапуска выполняться в адресном пространстве легитимного процесса
на сегодняшний день в паблике 46 вариантов автозагрузки, и это только в паблике )
разве того что сделан из говна и палок )
итог сгодиться если тот кто делал "майнер" не слышал что такое низкоуровневое программирование и недокументированные апи
в целях развития стоит посмотреть такие вещи как YARA с учетом того что 99,9% майнеров сделаны на основе xmrig собрать боткилл не составит особого труда
1. Ну сделай Майн , который будет скрываться от этой утилитки.
2. Про работу в памяти/авторан и т.д - основная задача утилиты это выявить наличие майнера , а остальное (убийство процесса , поиск родительского , автозагрузка) является лишь небольшим приятным бонусом.
В теории можно сделать все , но на практике пока ещё ни один из майнеров не скрывается от утилиты.
Сделай , чтобы скрывался и все , что ты расписал выше - будешь первооткрывателем , люди тебе спасибо скажут
Последнее редактирование: