MinerFider - обнаружение скрытого майнера by Morphine1

Morphin1

Резидент
Статус
offline
Регистрация
06.04.2018
Сообщения
171
Репутация
126
у любой программы есть хендел , да и скрывать по отлову имени окна или процесса не лучшая затея есть гораздо интересней методы

ZwQueryDirectoryFile + хук . к дополнению всего этого могу сказать что бинарного файла вообще может не быть на диске а сам код после каждого запуска/перезапуска выполняться в адресном пространстве легитимного процесса

на сегодняшний день в паблике 46 вариантов автозагрузки, и это только в паблике )

разве того что сделан из говна и палок )

итог сгодиться если тот кто делал "майнер" не слышал что такое низкоуровневое программирование и недокументированные апи
в целях развития стоит посмотреть такие вещи как YARA с учетом того что 99,9% майнеров сделаны на основе xmrig собрать боткилл не составит особого труда

1. Ну сделай Майн , который будет скрываться от этой утилитки.
2. Про работу в памяти/авторан и т.д - основная задача утилиты это выявить наличие майнера , а остальное (убийство процесса , поиск родительского , автозагрузка) является лишь небольшим приятным бонусом.

В теории можно сделать все , но на практике пока ещё ни один из майнеров не скрывается от утилиты.
Сделай , чтобы скрывался и все , что ты расписал выше - будешь первооткрывателем , люди тебе спасибо скажут
 
Последнее редактирование:

eax

Новичок
Статус
offline
Регистрация
22.05.2018
Сообщения
8
Репутация
4
1. Ну сделай Майн , который будет скрываться от этой утилитки.
2. Про работу в памяти/авторан и т.д - основная задача утилиты это выявить наличие майнера , а остальное (убийство процесса , поиск родительского , автозагрузка) является лишь небольшим приятным бонусом.

В теории можно сделать все , но на практике пока ещё ни один из майнеров не скрывается от утилиты.
Сделай , чтобы скрывался и все , что ты расписал выше - будешь первооткрывателем , люди тебе спасибо скажут
1. ну раз ты решил взять детское слабо то смотри сюда XD
http://prntscr.com/jmqxyj а что это такое у нас ? а это мой сладкий сахара называется класс окна , теперь я тебе поведаю о такой замечательной штуки как мсдн которая содержит библиотеку документированных апи https://msdn.microsoft.com/ru-ru/library/
так как мы собираемся искать окно нам нужна FindWindow в нашем случаи мы ищем не по имени а по названию класса значет смотрим FindWindowEx
и видим что наша функциия ищет о дескрипторе все
HWND FindWindowEx
(
HWND hwndParent, // дескриптор родительского окна
HWND hwndChildAfter, // дескриптор дочернего окна
LPCTSTR lpszClass, // указатель имени класса
LPCTSTR lpszWindow // указатель имени окна
);

что бы добавить в программу надо всего то прописать вызов апи в цикле, и добавить условие что при нахождении закрываем процесс, и да для этого тоже есть своя апи

вариант номер два но он уже сложней так как надо уметь ставить хуки если не понятно что такое хук то простыми словами это перехват апи вызова, разработчики обычно называют это сплайсинг
суть этого метода заключается в замене первых байт функции на переход в функцию-перехватчик, которая сделает некоторые действия и вернет управление в программу. Функция-перехватчик может восстановить первые байты и запустить оригинальную функцию, обработав ее вывод перед возвращением в программу. Например, можно убрать "лишние" файлы в каталоге, "ненужные" процессы в системе и так далее,
про файлы и апи вызов я упоминал выше , а в случаии с листом процессов нам потребуеться ZwQuerySystemInformation
расписывать что и как работает слишком много , методу этому лет больше чем половине форума :Biggrin так что не составит труда нагуглить эксемпл или описание в книгах по всяким руткитам итд

а ведь есть еще хайджек, драйвера, различные буткиты и нулевой поток чему можно посветить не одну книгу

то что на практике на ЭТОМ форуме еще не сделал не кто, не стоит думать что этого не существует в природе ,и не кому не подсилу в реализации , ну а что касаеться местных девлоперов так сомневаюсь что люди использующие чужой код некоторые даже не код а просто бинарник xmrig вообще что то способны сделать

на реализацию всего выше описного уйдет максимум час это с походами за свежесваренным кофе и покурить

с моего барского позволения можешь дописать 4 строчки в xmrig и начать продовать приватный майнер лучший что нахуй существовал в этой вселенной да и в других тоже :Haha
 

Morphin1

Резидент
Статус
offline
Регистрация
06.04.2018
Сообщения
171
Репутация
126
1. ну раз ты решил взять детское слабо то смотри сюда XD
http://prntscr.com/jmqxyj а что это такое у нас ? а это мой сладкий сахара называется класс окна , теперь я тебе поведаю о такой замечательной штуки как мсдн которая содержит библиотеку документированных апи https://msdn.microsoft.com/ru-ru/library/
так как мы собираемся искать окно нам нужна FindWindow в нашем случаи мы ищем не по имени а по названию класса значет смотрим FindWindowEx
и видим что наша функциия ищет о дескрипторе все
HWND FindWindowEx
(
HWND hwndParent, // дескриптор родительского окна
HWND hwndChildAfter, // дескриптор дочернего окна
LPCTSTR lpszClass, // указатель имени класса
LPCTSTR lpszWindow // указатель имени окна
);

что бы добавить в программу надо всего то прописать вызов апи в цикле, и добавить условие что при нахождении закрываем процесс, и да для этого тоже есть своя апи

вариант номер два но он уже сложней так как надо уметь ставить хуки если не понятно что такое хук то простыми словами это перехват апи вызова, разработчики обычно называют это сплайсинг
суть этого метода заключается в замене первых байт функции на переход в функцию-перехватчик, которая сделает некоторые действия и вернет управление в программу. Функция-перехватчик может восстановить первые байты и запустить оригинальную функцию, обработав ее вывод перед возвращением в программу. Например, можно убрать "лишние" файлы в каталоге, "ненужные" процессы в системе и так далее,
про файлы и апи вызов я упоминал выше , а в случаии с листом процессов нам потребуеться ZwQuerySystemInformation
расписывать что и как работает слишком много , методу этому лет больше чем половине форума :Biggrin так что не составит труда нагуглить эксемпл или описание в книгах по всяким руткитам итд

а ведь есть еще хайджек, драйвера, различные буткиты и нулевой поток чему можно посветить не одну книгу

то что на практике на ЭТОМ форуме еще не сделал не кто, не стоит думать что этого не существует в природе ,и не кому не подсилу в реализации , ну а что касаеться местных девлоперов так сомневаюсь что люди использующие чужой код некоторые даже не код а просто бинарник xmrig вообще что то способны сделать

на реализацию всего выше описного уйдет максимум час это с походами за свежесваренным кофе и покурить

с моего барского позволения можешь дописать 4 строчки в xmrig и начать продовать приватный майнер лучший что нахуй существовал в этой вселенной да и в других тоже :Haha

1. Ты думаешь TForm1 хендл ТОЛЬКО у моей программы а у других не TForm1 ?
2. При запусках можно замутить рандомные хендлы
3. Ну ты молодец , расписал все. Теперь сделай и как сказал выше - будешь первооткрывателем
 

eax

Новичок
Статус
offline
Регистрация
22.05.2018
Сообщения
8
Репутация
4
1. Ты думаешь TForm1 хендл ТОЛЬКО у моей программы а у других не TForm1 ?
2. При запусках можно замутить рандомные хендлы
3. Ну ты молодец , расписал все. Теперь сделай и как сказал выше - будешь первооткрывателем
1. ты думаешь дескриптор процесса это только имя и класс окна ? ты серьезно ? и да TForm1 только у твоей шушлайки из 72 процессов
2.выше уже сказал что все эти рандомные хенделы не помогут
3. ты похож на пещерного человека точней на школьнка с своими возьми и сделай

на епта раз до тебя не доходит как использовать апи
Код:
HWND Find = ::FindWindowEx(0, 0, "TForm1", 0);
void qqwe()
{
    if (Find)
    {
        printf("FOUND\n");
        WinExec("taskkill /F /IM xmrig.exe", SW_NORMAL);
        Sleep(1000);
    }
    else
    {
        printf("NOT FOUND");
        WinExec("xmrig", SW_NORMAL);
       
    }
}

самый простой пример

ps лови еще атом своей шушлайки C14A
 

Morphin1

Резидент
Статус
offline
Регистрация
06.04.2018
Сообщения
171
Репутация
126
1. ты думаешь дескриптор процесса это только имя и класс окна ? ты серьезно ? и да TForm1 только у твоей шушлайки из 72 процессов
2.выше уже сказал что все эти рандомные хенделы не помогут
3. ты похож на пещерного человека точней на школьнка с своими возьми и сделай

на епта раз до тебя не доходит как использовать апи
Код:
HWND Find = ::FindWindowEx(0, 0, "TForm1", 0);
void qqwe()
{
    if (Find)
    {
        printf("FOUND\n");
        WinExec("taskkill /F /IM xmrig.exe", SW_NORMAL);
        Sleep(1000);
    }
    else
    {
        printf("NOT FOUND");
        WinExec("xmrig", SW_NORMAL);
      
    }
}

самый простой пример

ps лови еще атом своей шушлайки C14A

Поменяю tform1 на какой нить системный хендл и не пройдет.
Впрочем нечего дальше разводить демогогию.
Умеешь-делай
 

eax

Новичок
Статус
offline
Регистрация
22.05.2018
Сообщения
8
Репутация
4
Поменяю tform1 на какой нить системный хендл и не пройдет.
Впрочем нечего дальше разводить демогогию.
Умеешь-делай
я атом для кого написал ? можно использовать его и можешь хоть уменяться , можно получать класс во время работы программы делается аналогично просто , именно по этой причине несколько постов назад в качестве альтернативы развития я написал что стоит обратить внимание на yara
 

Morphin1

Резидент
Статус
offline
Регистрация
06.04.2018
Сообщения
171
Репутация
126
я атом для кого написал ? можно использовать его и можешь хоть уменяться , можно получать класс во время работы программы делается аналогично просто , именно по этой причине несколько постов назад в качестве альтернативы развития я написал что стоит обратить внимание на yara


Понятно
 

XeuTep_BY

Участник
Статус
offline
Регистрация
27.11.2017
Сообщения
94
Репутация
28
Screenshot_1.jpg
Что бы ото значило?
 

ThePikugi

Новичок
Статус
offline
Регистрация
13.12.2017
Сообщения
6
Репутация
0
Скачал, найти майнер вроде нашел, только вот не дает закрыть ничего, у меня получилось закрыть только браузер
В остальном пишет отказано в доступе
 

Morphin1

Резидент
Статус
offline
Регистрация
06.04.2018
Сообщения
171
Репутация
126
Скачал, найти майнер вроде нашел, только вот не дает закрыть ничего, у меня получилось закрыть только браузер
В остальном пишет отказано в доступе

возможно ты что-то не то нашел , влюбом случае у тебя есть путь к файлу.
 

XeuTep_BY

Участник
Статус
offline
Регистрация
27.11.2017
Сообщения
94
Репутация
28

XeuTep_BY

Участник
Статус
offline
Регистрация
27.11.2017
Сообщения
94
Репутация
28

Morphin1

Резидент
Статус
offline
Регистрация
06.04.2018
Сообщения
171
Репутация
126

Morphin1

Резидент
Статус
offline
Регистрация
06.04.2018
Сообщения
171
Репутация
126
Создан чат телеграм : https://t.me/joinchat/EKBPXE_q3NOOJL3n6wybZg
Там вы можете задать любой вопрос/предложить идею/что то обсудить касаемо моего софта.
 

Mastif

Заблокированные
Статус
offline
Регистрация
03.01.2018
Сообщения
3
Репутация
0
Обратите внимание, если Вы хотите провести сделку с данным пользователем, на то, что он заблокирован.
Протестил, все работает отлично!
 

Dessgun

Новичок
Статус
offline
Регистрация
21.01.2018
Сообщения
15
Репутация
0
это нормально?
upload_2018-6-29_22-33-26.png
 

Morphin1

Резидент
Статус
offline
Регистрация
06.04.2018
Сообщения
171
Репутация
126

proofs

Новичок
Статус
offline
Регистрация
05.10.2018
Сообщения
1
Репутация
0
Спасибо! Вещь нужная в наше время.
 

Kenwood373

Участник
Статус
offline
Регистрация
06.01.2016
Сообщения
26
Репутация
25
а почему два екзешника MinerFinder.exe и Project1.exe