UnknownObserver
Новичок
- Статус
- offline
- Регистрация
- 12.06.2020
- Сообщения
- 1
- Репутация
- 0
Продам исходники
C++ LSP / Фильтр трафика антивируса + запуск .exe от имени АВ или любого другого процесса
Что такое LSP?C++ LSP / Фильтр трафика антивируса + запуск .exe от имени АВ или любого другого процесса
LSP - либа (.dll), при помощи которой можно фильтровать любой трафик на уровне WinSocks. На основе этой технологии работает фаерволл win7 и Vista.
https://ru.wikipedia.org/wiki/Layered_Service_Provider
Как работает технология:
*Процесс хочет выйти в интурнет*
1. Подгружает виндовую либу winsock.dll/winsock2.dll
2. Виндовая winsock.dll автоматом подгружает нашу либу lsp.dll
3. Профит
Где работает:
Любая винда, начиная от XP и заканчивая 10 (за ХР не уверен, поскольку она тогда в "бета-версии" появилась)
Преимущества данной технологии:
- После установки либы не нужно больше обновлять крипт - никогда. А значит ваше решение будет жить очень долго.
- После установки либы - большинство антивирусов не смогут отправить ваше решение в лабораторию.
Подводные камни:
- на win10 либа не подхватывается службами (нужно играться с исходниками, добавлять UAC в инсталлер)
- на win10 либа не подхватывается некоторыми АВ, НО! У нас всё ещё остается возможность запускать .exe-шник от имени подхватившего процесса. Так у меня получилось от имени steam,exe и chrome.exe стартовать малварь без проблем.
Что может сделать моя либа:
После того как либа подхватилась процессом, у нас есть две возможности:
1. Полностью заблочить трафик текущего процесса
2. Запустить от имени этого процесса ваше решение ( моя наработка )
Содержание исходников:
1. Установщик либы ( LSP/installer )
2. Шифровальщик ( LSP/Cryptor ) - с шифрованием не заморачивался, обычный XOR *
3. Сама либа ( LSP/lib )
* шифровальщик нужен для того, чтобы АВ не отправил ваше решение на анализ перед ребутом
Принцип работы:
1. Инсталлим либу (с UAC или от админа)
2. Переходим в папку C:\ProgamData\LSP Windows
3. Закидываем lsp.dat со список процессов для фильтрации ( + от имени этих процессов будет стартовать .exe-шник )
4. Закидываем зашифрованный .ехе-шник с названием "exe.bin"
5. Делаем ребут
6. Профит
Собственно, продаю исходники сего чуда.
Прайс 2000$. Комплект и функционал описал выше. Все вопросы в личку или телегу #UnknownObserver
Оптовая цена 500$ от 10 человек.
FAQ:
1. Почему продаешь? На*б полюбому?
- Нет, все прозрачно. Работаю через гарант. Продаю ибо оно мне не надо, да и негде применить сей функционал. Заказчик, которому понадобилась эта либа - где-то пропал.