RuCore.NET

RunPE: запуск exe файла из памяти





RuCoreNET - лучшее для вас!


Скрытие процесса всегда было сложной задачей для авторов вредоносного ПО, и они нашли множество способов сделать это. Этот трюк известен под названием «RunPE» и много раз использовался в индустрии вредоносного ПО, особенно в RAT (Remote Administration Tools).

По сути, когда вредоносная программа запускается, она выбирает жертву среди процессов Windows (например, explorer.exe) и запускает новый экземпляр, в приостановленном состоянии. В этом состоянии модифицировать безопасно, и вредоносная программа полностью очистит его от кода, при необходимости расширит память и скопирует свой собственный код внутрь.



Затем вредоносная программа сделает некоторую магию, чтобы настроить адрес точки входа, а также базовый адрес, и возобновит процесс. После возобновления процесс показывает, что он запущен из файла, который больше не имеет ничего общего с тем, что он на самом деле делает.

Приступим к делу

Нам нужно скачать Visual Studio 2019. Для этого заходим на их официальный сайт:

ПРЯМАЯ ССЫЛКА на СКАЧИВАНИЕ

 

После того как мы скачали студию, мы должны нажать на галочку вместе с C++. Дальше заходим на гитхаб, и жмём «Clone Or Download«, для того чтобы скачать исходники программы:

https://github.com/0xDumper/RunPE

 

 

Затем надо скачать программу HxD. Запускаем ее, и закидываем в ее наш .exe файл. Копируем все, нажав Ctrl + A, выбираем Правка > Копировать как > C.

 

 

Теперь запускаем нашу папку в Visual Studio, и переходим в main.cpp. Вставляем все скопированное в свободное место в коде. Как только весь проект загрузился, выбираем Release и x64:

 

 

После чего переходим в папку с проектом потом => bin => release => RunPE => RunPE>exe, и если все запущено, значит мы сделали все правильно!

Вот пример того, как все это сделать:

 

RunPE: Обнаружение

Так как этот трюк прост, его также легко обнаружить. Мы можем смело предположить (за исключением .NET сборок), что заголовок PE будет на 99% одинаковым в памяти и в образе диска процесса. Зная это, мы можем затем сравнивать в каждом процессе заголовок PE файла на диске с образом в памяти. Если разница слишком велика, можно смело предположить, что процесс перехвачен.

Софт RogueKiller в версии 10.8.3 способен обнаружить инъекцию RunPE.

СКАЧАТЬ ПРОГРАММУ

 

RogueKiller Anti-Malware можно использовать бесплатно для сканирования и очистки. Однако, приложение имеет дополнительные платные функции, которые обеспечивают защиту в режиме реального времени, более высокий уровень безопасности и позволяют более детально настраивать поведение программы.

При запуске RogueKiller вы можете выполнять сканирование системы на вредоносные программы и элементы. После завершения проверки программа покажет перечень обнаруженных проблем и предложит их устранить.

 

А вот результаты с сайта АНТИСКАН

 

Как видим большинство антивирусов не смогло обнаружить данную приколюху. Всем спасибо, и удачи!

В качестве дополнения прилагаю видео с ютюба по данной теме



Поделись статьей с друзьями


22 просмотров




Оставить свой комментарий



Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: