• XSS.stack #1 – первый литературный журнал от юзеров форума

Исправление кода для обхода АВ

Отслеживать
user_47

user_47

(L3) cache
Пользователь
Регистрация
25.06.2023
Сообщения
210
Решения
2
Реакции
93
Гарант сделки
2
Всем привет!

Подскажите методику правки исходников чтобы билд переставал чекаться АВ.

Согласно доступной мне теории делал исправлял имена переменных и функций, строки склеивал. Не помогает.

Что ещё делать можно?
 
Сортировать по дате Сортировать по голосам
user_47 сказал(а):
Всем привет!

Подскажите методику правки исходников чтобы билд переставал чекаться АВ.

Согласно доступной мне теории делал исправлял имена переменных и функций, строки склеивал. Не помогает.

Что ещё делать можно?
Для начала яп какой и тип полезной нагрузки, если тебе нужен хороший статик улучшай энтропию, морфь код.
Скрытый контент для пользователей: user_47.
 
За 0 Против
user_47 сказал(а):
Всем привет!

Подскажите методику правки исходников чтобы билд переставал чекаться АВ.

Согласно доступной мне теории делал исправлял имена переменных и функций, строки склеивал. Не помогает.

Что ещё делать можно?
Какой ЯП?
 
За 0 Против
Задача стоит получить обратный шелл с подконтрольного хоста виндового. Не важно на каком языке.

пытался править реверс шелы на с и с# (брал исходники на revshells[.]com). Так же собирал питоновские варианты (брал с книжек аля питон для хакера) с загрузкой пайлоада с *.bin файлика. Но там убивалось всё в зародыше, даже до попыток запроса на мой сервак дело не доходило.

Пробовал shellcode_inject заюзать. Только видимо этот финт на вин10 уже не работает. Либо access denid либо просто какой то еррор и отстука нет.

Мой скил в программировании дальше написания скриптов и основ программинга не поднимался. Поэтому искал готовые варианты и пытался их самостоятельно допилить.

В идеале хотелось бы запустить реверс шелл хотябы руками с отстуком в хендлер метасплойта.

Пытался собраный msfvenom`ом билдер на крипт отдать. Но крипт даже дефендером гасился. Поэтому пока тупик.
 
За 0 Против
user_47 сказал(а):
Задача стоит получить обратный шелл с подконтрольного хоста виндового. Не важно на каком языке.

пытался править реверс шелы на с и с# (брал исходники на revshells[.]com). Так же собирал питоновские варианты (брал с книжек аля питон для хакера) с загрузкой пайлоада с *.bin файлика. Но там убивалось всё в зародыше, даже до попыток запроса на мой сервак дело не доходило.

Пробовал shellcode_inject заюзать. Только видимо этот финт на вин10 уже не работает. Либо access denid либо просто какой то еррор и отстука нет.

Мой скил в программировании дальше написания скриптов и основ программинга не поднимался. Поэтому искал готовые варианты и пытался их самостоятельно допилить.

В идеале хотелось бы запустить реверс шелл хотябы руками с отстуком в хендлер метасплойта.

Пытался собраный msfvenom`ом билдер на крипт отдать. Но крипт даже дефендером гасился. Поэтому пока тупик.
Надо научиться детекты понимать отличать рантайм от скантайма. Попробуй резать сорец например коментить код с конца в начало чтобы понять на каком участке кода стоит детект. Компилируешь и сливаешь бинарник аверу либо на сканер типа авчек. Со статикой точно так решишь с раном там сложнее. Но моим дедовским методом точно найдешь что палиться.
 
За 0 Против
Matanbuchus сказал(а):
Надо научиться детекты понимать отличать рантайм от скантайма. Попробуй резать сорец например коментить код с конца в начало чтобы понять на каком участке кода стоит детект. Компилируешь и сливаешь бинарник аверу либо на сканер типа авчек. Со статикой точно так решишь с раном там сложнее. Но моим дедовским методом точно найдешь что палиться.
Мысль ясна! Я обычно так баги отлавливал. Благодарю за подсказ...
 
За 0 Против
похоже, что вы пытаетесь использовать наиболее общедоступные источники для своей оболочки, это хорошо, потому что это быстро и легко, но есть много проблем, с которыми вы столкнетесь, потому что эти источники очень хорошо известны AV-компаниям, поэтому у них всегда очень высокий уровень обнаружения время выполнения и время сканирования, как упоминал Matanbuchus, то же самое и с msfvenom.


Я думаю, что лучшей идеей было бы сгенерировать полезную нагрузку msfvenom в виде .py, powershell или чего-то подобного, просмотреть код и понять, как они создают оболочку rev, а затем, используя свои знания сценариев, создать что-то новое, которое достигнет той же цели, но немного другой маршрут
 
За 0 Против
один подход: если у вас есть пример 10/20 обнаружений на VT и у вас есть пример 3 функций внутри main{}, закомментируйте первую функцию, повторите сканирование, и обнаружение может не измениться, закомментируйте вторую функцию и обнаружение упадет до 9/20... это скажет вам, что функция 2 имеет некоторый код, вызывающий обнаружение, теперь повторите этот процесс внутри function_2{} вместо main и обратите внимание на результаты, какая строка меняет обнаружение при закомментировании и т. д. затем просто повторите эту идею в своем приложении.


Это медленный ручной процесс, который очень утомителен для любых продвинутых приложений, поэтому вам может оказаться быстрее и проще создать небольшой скрипт, который автоматизирует часть этого процесса за вас.


Надеюсь, это достаточно ясная концепция. Если у вас есть вопросы, спрашивайте.
 
За 0 Против
0xc83736 сказал(а):
один подход: если у вас есть пример 10/20 обнаружений на VT и у вас есть пример 3 функций внутри main{}, закомментируйте первую функцию, повторите сканирование, и обнаружение может не измениться, закомментируйте вторую функцию и обнаружение упадет до 9/20... это скажет вам, что функция 2 имеет некоторый код, вызывающий обнаружение, теперь повторите этот процесс внутри function_2{} вместо main и обратите внимание на результаты, какая строка меняет обнаружение при закомментировании и т. д. затем просто повторите эту идею в своем приложении.


Это медленный ручной процесс, который очень утомителен для любых продвинутых приложений, поэтому вам может оказаться быстрее и проще создать небольшой скрипт, который автоматизирует часть этого процесса за вас.


Надеюсь, это достаточно ясная концепция. Если у вас есть вопросы, спрашивайте.
методика мне понятна. Интересует ресурс (аналог virustotal) куда можно свои экзешники закидывать на проверку детектов. Где то упонимание поподалось, но адрес забыл.
 
За 0 Против
качаешь на вм к себе дофигищу ав и где-то есть за 1$ сабку сейлят на год т.к подарили им и тд, или есть сайты которые ключи ко всем за 50$ дают, потом делаешь скрипт закидывания и все.
user_47 сказал(а):
Есть аналог vireutotal`a какой то, чтобы проверять детекты своей писанины?
 
За 0 Против
MoilerRenoiler сказал(а):
качаешь на вм к себе дофигищу ав и где-то есть за 1$ сабку сейлят на год т.к подарили им и тд, или есть сайты которые ключи ко всем за 50$ дают, потом делаешь скрипт закидывания и все.
это еще одно хорошее решение, которое мне не пришло в голову ++
 
За 0 Против
user_47 сказал(а):
методика мне понятна. Интересует ресурс (аналог virustotal) куда можно свои экзешники закидывать на проверку детектов. Где то упонимание поподалось, но адрес забыл.
avcheck.net скантайм

scanner.to скантайм/рантайм
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх