Ir para conteúdo
  • Cadastre-se

diego.rax

Membros
  • Total de itens

    3
  • Registro em

  • Última visita

Reputação

3 Neutral

1 Seguidor

Últimos Visitantes

33 visualizações
  1. diego.rax

    Vacina: Vírus atalho

    Não testei direito, mas acredito que a parte da exclusão dos arquivos possa ser feito +- desta forma import subprocess import re malware_ext = ['.js'] malware_ext2 = ['.exe'] paths = ["%appdata%"] for path in paths: for malware in malware_ext: result = subprocess.getoutput('del /s /f /q "{path}"\*{ext}'.format(path=path, ext=malware)) if not "*" in result: malware_paths = list(set(re.findall('(C\:.*\\\)', result))) if malware_paths: for malware_path in malware_paths: for malware2 in malware_ext2: subprocess.getoutput('del /s /f /q "{path}"\*{ext}'.format(path=malware_path, ext=malware2)) else: print("Nenhum arquivo infectado") * A ideia principal é permitir algo mais escalável, pois basta adicionar novas extensões ou paths na lista e o código fará o processo de busca e remoção utilizando os critérios do código original. Entretanto, o processo de remoção parece um tanto quanto perigoso já que exclui arquivos com base somente na extensão, isso em um ambiente real poderia causar problemas... ** Não postei nada sobre a parte do script, mas acredito que possa ser substituída essa parte result = os.system('taskkill /T /F /IM wscript.exe ') ##finaliza o processo e retorna um valor inteiro por esta result = subprocess.getoutput('taskkill /T /F /IM wscript.exe ') ##finaliza o processo e retorna um valor inteiro ou algo parecido na lib subprocess, assim podemos evitar o carregamento de mais um módulo No comando taskskill em si, temos um problema semelhante ao de sair excluindo dados com base na extensão. Neste caso o comando encerra processos que estejam usando o wscript, e isso pode causar danos também em um ambiente real
  2. diego.rax

    As maquinas querem saber

    C
  3. diego.rax

    bypassando defesa de perímetro com base64

    base64 pode ser bem interessante, mas algumas ferramentas "já" possuem recursos pra pegar bichinhos em base64(nem sempre vem habilitado por padrão) Eu também tenho 2 considerações(seguindo a onda binária do Mercês): 1º Talvez seja melhor transferir algo menor do que um RAT em java, como uma conexão reversa através do netcat 2º Sobre fazer o alvo executar o bichinho do mal, usar algo como DDE pode ser útil, https://pentestlab.blog/2018/01/16/microsoft-office-dde-attacks/
×