Перейти к содержанию

DEDIK

Администратор
  • Публикаций

    212
  • Зарегистрирован

  • Посещение

Репутация

0 Neutral

Информация о DEDIK

  • Звание
    Rank №5
  1. C Днём Победы

    Всех тех кто помнит, с Днём Великой Победы, помню деда, Горжусь.
  2. https://medium.com/@adam.toscher/creating-s...ls-b4cbf1a98187
  3. Вопрос по обходу АВ

    для начала нужно понять как твой файл обнаруживается, и намёком на то может быть сам детект :) сигнатура - последовательность байт (стринг например) крипт как раз адресует этот метод обнаружения. статическая эвристика - характеристики файла (размеры, секции, импорты, иконки, наличие ole бинарей (в слyчае с доками) итп). сигнатура (score) динамической эвристика - классификация действий файла посредством мониторинга запуска в сэндоксе (аналогия, Cuckoo, www.reverse.it) AMSI из той же пьесы проактивная защита (score) - термин размытый и воспринимается многими по разному но зачастую это мониторинг самой ОС на предмет модификации / записи "интимых зон ОС" к.п.м ... \Software\Microsoft\Windows\CurrentVersion\Run методы чистки под каждый из методов детекта - разный, к примеру сигнатуру можнo захексит/крипт, статику спрятав API за хэшами, динамику рефакторингом кода, обходами. это (ОЧЕНь) в кратце ... так что прежде чем чистить, нужно понять на какой стадии выполнения твой файл обнаруживатся ... и какой возвращается detect AV. все вышеупомянутое относится не только к самому бэкдорy но и к методам его доставки, с поправками на формат
  4. Номера порта для RAT

    контекст применения поясни , LAN / INTERNET INTERNET все просто, если RAT back-connect выбираешь 80 / 443 дабы попадать под WEB Access политики безопасности на исходящий трафик (на Proxy/DLP, файрволе итп). LAN непринципиально но есть исключения учитывающие сегментацию сети (к примеру общение VLAN <-> VLAN)
  5. Защита от антивирусов

    затем что рано или поздно столкнётся с той же проблемой ( mscore loader та же статуя только в профиль) ... ТС должен понять принцип действий при детекте. NaVi_Slon
  6. Защита от антивирусов

    ищи сигнатуру, возможно привязка к стрингу (string) либо еще к какой последовательности байт (как упомянул NaVi_Slon ). попробуй - https://github.com/PowerShellMafia/PowerSpl...AVSignature.ps1 (если речь об одном АВ) - возможно высокая энтропия, попробуй без крипта
  7. Защита от антивирусов

    "детект детекту рознь" см пару тем ниже - https://dedik.cc/index.php?showtopic=143120 с небольшой поправкой на .NET, учитывая относительную простоту дисэмблирования, характеристике PE (к.п импорты) ну и запуск самого кода C# -> MSIL -> CLR -> JIT на какой стадии у тебя detect и что возвращает АВ? оттуда нужно отталкиватся с чисткой ну или методикой автоматизации "FUD"
  8. касательно проксирования трафика через прокладку до панели: socat TCP4-LISTEN:80,fork TCP4:ip:80
  9. Маркирует ДА - для повышения производительности [scantime] методы маркировки выбираемые авирами самые разные NTFS ADS, хэшь таблицы итп. Сканят при старте ДА - при загрузке [рантийм] загружаемый файл проверяется ну и мониторится по мере его выполнения. SilverT - крипт конечно хорошо вне зависимости от метода старта полезной нагрузки, без таблиц подмешивания этнтропии, последняя то как раз и палит файл, если не окончательный детект то static heuristic flag [жырный] 1 так что к крипту PE в 2018м нужно подходить с "умом".
  10. Убийство всех АВ

    дрова хакера сейчас многими АВ блокируются Cylance, Avast, AVG ... так что большие надежды на него не возлагайте. Suffocation, не забывай про "логические" уязвимости в установленном софте -
  11. решений много - начиная от глобальных хуков на к.п.м *OpenProcess (предотвратить открытие хэндла на твой процесс) и *TerminateProcess (предотвращения на терминация определённого процесса) в юзер моде (DLL / code injection = inline hooking ), помещения процесса в дэбаг мод, регистрация процесса как protected service, заканчивая альтерацией SSDT / DKOM на уровне ядра, но для последних нужны дрова либо уязвимость в дровах позволяющая выполнить код в ядре.
  12. Ищу Лоадер

    !Предупреждение от модератора:ты решил во все разделы написать - предупреждение !
  13. mcaffee endpoint security

    depends on the macro you are trying to execute.
  14. I assume you are following the "standard" approach to delivering your ShellCode in to the target process : 1) Open target process and grab a handle. 2) Allocate memory in target process using e.g. VirtualAlloc. 3) Write your shellcode in to the target process e.g. WriteProcessMemory . 4) and then you are trying to execute a remote thread on top of your shellcode using RtlCreateUserThread -> effectively ends up with NtCreateThreadEx which is obviously hooked in kernel-mode by the AV (Kernel Callbacks most prob). What usermode hook are you referring to ? 5) you are getting detected. I'm not sure how your injector looks like but the above activity sourcing form a newly emerged process is a proactive signature of its own. do you get detects when trying to inject code in to any other process on the same system? do you get detect on injector execution or when it tries to inject code?
  15. Интересный код.

    Ты тоже сильно не радуйся, как только нормальный эмулятор сделают(а не ебаное амси), пососет и powershell. AMSI это script_block_exec интерфейс провайдеру (АВ) который в свою очередь премемняет собственные методики детекта малвари в предаваем ему колл бэк буфере - тут большего и ненужно все зависит от самого АВ тут (в контексте этого темы) скорее нужна изоляция среды выпонения VBA ( macro execution sandbox) в офисе.
×