Перейти к содержанию
MrRabbit

Как обходится Windows Defender?

Рекомендуемые сообщения

Прочёл статью Обходим Windows Defender дешево и сердито: meterpreter сессия через python. Но так и не понял что сделали с .exe, что VirusTotal (в т.ч. и Defender) показали что файл чист. Может кто пояснить?

 

PS: не пользовался metasploit-ом, не шарю в python. Типичный Сишник.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цитата
8 минут назад, MrRabbit сказал:

Прочёл статью Обходим Windows Defender дешево и сердито: meterpreter сессия через python. Но так и не понял что сделали с .exe, что VirusTotal (в т.ч. и Defender) показали что файл чист. Может кто пояснить?

 

PS: не пользовался metasploit-ом, не шарю в python. Типичный Сишник.

Да тупо преобразовали из python-скрипта в exe через py2exe... На динамике там будет полный пиздец!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цитата
1 hour ago, krasniy_miner said:

На динамике там будет полный пиздец!

А почему defender пропустил тогда? Короче пустышка, а не статья?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цитата
1 час назад, MrRabbit сказал:

А почему defender пропустил тогда? Короче пустышка, а не статья?

Ну дефендер это далеко не главный АВ. Учитывая использование метасплоит, дефендер вас беспокоить будет в самую последнюю очередь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цитата
On 7/10/2019 at 1:38 AM, MrRabbit said:

Короче пустышка, а не статья

да. питон в ехе это пиздец цирк я б за такое ебало бил сразу же. запихивать весь интерпретатор в 30мб ради скрипта стейджера метера на 2кб это вообще чушь, не говоря о том уже как это все распаковывается и запускается.

 

Цитата
On 7/10/2019 at 12:23 AM, MrRabbit said:

VirusTotal

ничего не значит. статические детекты обходятся в 50 строк на си

 

 

Цитата
On 7/10/2019 at 3:14 AM, krasniy_miner said:

Ну дефендер это далеко не главный АВ

замечу что в последние пару лет дефендер очень сильно вырос в плане эвристики и имеет тенденцию стать одним из топ хоум-ав на рынке. даже сейчас он авиры и аваста просто наголову выше

 


Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в статье красиво описан банальный обход сигнатур и статической эврстики (характеристик PE файла), сейчас добрая доля детекта падает на динамику (рантайм поведение). я не говорю что это плохо, но это узко.

 

прежде чем "что-либо" обходить нужно это "что-либо" очень хорошо понимать, начать можно здесь - https://www.youtube.com/watch?v=2NawGCUOYT4

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Цитата
On 7/17/2019 at 2:59 PM, mendax said:

попробуй через PWS скриптами их мжно найти в google

I've been testing PS snippets for .exe delivery lately. On the latest build, Win 10 Enterprise, Windows Defender blocks all files that are downloaded using IEX module. Those files are placed in $TEMP folder after downloading, this makes Windows Defender to start whining.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Call NtCreateFile (https://docs.microsoft.com/en-us/windows/win32/api/winternl/nf-winternl-ntcreatefile) with CreateDisposition set to OPEN_EXISTING attribute and UNICODE_STRING set to "C:\\aaa_TouchMeNot_.txt". This file is created by Window Defender sandbox during emulation. If it exists, you can skip execution of your main payload and jump to dummy code like an API bomb to crash the emulator or simply exit.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×