WindowsDefender детектит нулевые байты

[Russian_Coder]

Вообщем сейчас кое что тещу и прогоняю через сканнер который выдает на что ругает деф.
В целом ничего нового для себя не увидел это Сабсик,ВАТАТКАТ,ПХОНЗИ.

Но что заметил для себя это то что он иногда орет на манифест

Спойлер: детект манифест

И нулевые байты

Спойлер: детект нулевых байтов

Сижу думаю голову в чем сама проблема. Манифест убираю или меняю то детектит нулевые байты.
С другими приложениями нормально все было а тут оно чот так вот.
Кто знает с чем связанно?

 

[ntdll]

а что ты там в манифесте модифицируешь что-то? может он у тебя битый, невалидный по хешсумме или по структуре выходит, не лезь туда вообще, тебе это не нужно. то что на отсутствие манифеста ругается понятно - ждет тебя удивительное открытие когда без дебаг путей компилить будешь. это все ред флаги

 

[Russian_Coder]

а что ты там в манифесте модифицируешь что-то? может он у тебя битый, невалидный по хешсумме или по структуре выходит, не лезь туда вообще, тебе это не нужно. то что на отсутствие манифеста ругается понятно - ждет тебя удивительное открытие когда без дебаг путей компилить будешь. это все ред флаги

Нет я ничего не модифицирую особо то там. Всё по дефолту идет

 

[DoomSlayer2002]

Сабсик вакатак это детекты эмулятора дефа вроде бы. Чтоб их убрать надо или задержки делать или детектить эмулятор

https://i.blackhat.com/us-18/Thu-August-9/us-18-Bulazel-Windows-Offender-Reverse-Engineering-Windows-Defenders-Antivirus-Emulator.pdf

Вот парочка идей для старта:

 

[DoomSlayer2002]

Вообщем сейчас кое что тещу

И что оно примерно хотя бы делает - это мб можно переписать без тригера эмуля

 

[Russian_Coder]

И что оно примерно хотя бы делает - это мб можно переписать без тригера эмуля

Запускает программу в памяти. Подобие LoadPE.
Вот думаю почему детект на нулевые байты, может это иза выделяемой памяти как то связанно.

 

[Russian_Coder]

Сабсик вакатак это детекты эмулятора дефа вроде бы. Чтоб их убрать надо или задержки делать или детектить эмулятор

https://i.blackhat.com/us-18/Thu-August-9/us-18-Bulazel-Windows-Offender-Reverse-Engineering-Windows-Defenders-Antivirus-Emulator.pdf

Вот парочка идей для старта:

Посмотреть вложение 81935

Возможно кстати да, спасибо.
Я как то и забыл про это. Надо будет потестить, возможно всю малину портит эмулятор

 

[salsa20]

Возможно кстати да, спасибо.
Я как то и забыл про это. Надо будет потестить, возможно всю малину портит эмулятор

ренейми пк в HAL9TH по имени, думаю ты уже догадался последствия)

 

[Russian_Coder]

Вообщем кому интересно что там и как. Да на счет этого обхода эмулятора хорошая тема, спасибо. Проблема была в целом другая это компилятор я использовал GCC и почему то на него агрился.
Компильнул аналогичный код только на визуалке обычной там все норм

 

[Apocalypse]

Детекты !ml не относятся к сигнатурным как таковые. Скорее всего энтропия, артефакты в заголовках и т.д.

 

[salsa20]

Детекты !ml не относятся к сигнатурным как таковые. Скорее всего энтропия, артефакты в заголовках и т.д.

поэтому просто реген семплов поможет

написал себе AV Stand чтобы много образцов проверять на сигнатуру
3 секунды чтобы понять можно ли крипт юзать думаю вполне себе

 

[Alexey18]

Что за сканер , друг ?

 

[salsa20]

Что за сканер , друг ?

свой собственный

Легкое управление через код) аверов легко саппортит

 

[Kernel32dll]

del

 

[salsa20]

Я так понимаю ты просто автоматизировал перемещение семплов на ВМ с разными аверами? Ну и логгинг сделал

да. eset,adaware,avast,avg,360 total security... в бд сохраняет

 

[Whisper]

свой собственный

Посмотреть вложение 82261


Легкое управление через код) аверов легко саппортит

Посмотреть вложение 82262

Libvirt?

 

[salsa20]

Libvirt?

нет

 

[Whisper]

А есть веская причина почему система управления не на скриптах?

 

[salsa20]

А есть веская причина почему система управления не на скриптах?

Нету причины, управление через C++ куда быстрее