• XSS.stack #1 – первый литературный журнал от юзеров форума

Прошу совета по чистке детектов

Отслеживать
bloodcatz

bloodcatz

RAID-массив
Пользователь
Регистрация
12.07.2023
Сообщения
59
Реакции
10
1728830425586.png


Такая ситуация возникла на вирустотале. Файл - обычный дроппер на C#, даже виндеф на него никак не реагирует, + подписал его легитимным сертификатом.
Откуда-то прилетели эти детекты. Пробовал добавлять junk-код в проект, создавать бесполезные методы и тд - не помогло. Прошу совета по чистке этих детектов. Заранее благодарю за помощь!
 
И какие советы ты хочешь услышать без кода? Сколько детектов у билда? Скорее всего ав просто агрятся на эвристический паттерн
Попробуй билд который загружает дроппер поменять на картинку
Попросить чатжпт переписать его
Зашифровать весь код и билд
Прогнать через обфускаторы https://github.com/search?q=net+obfuscator&type=repositories
Накрыть пакером/протектором/любой защитой
Загружать second stage другим способом вместо стандартных методов
Конвертировать в js https://github.com/tyranid/DotNetToJScript
Не трогать диск вообще а все делать в ram через MemoryStream
 
Проблема в том, что это дроппер. К тому же, простой. К тому же на C#.
Для антивирусов это уже если не красный, то желтый флаг - легитимный софт редко пользуется такими самописными дроперами, вместо этого использует InstallShield, nsis, inno и др. А если легальные компании использует что-то свое, то на это есть причина и простотой там не пахнет, то есть, это будет довольно уникальный код. А на С# все стандартные функции для этого заезжены и хорошо определяемы...
Если для вас принципиален вопрос с дропером на С#, то увы, помочь тут сложно. Благо, у вас есть сертификат, это большой плюс.
Вы можете попробовать обфусцировать некоторые функции кода касающиеся дропера.
Вы можете сильно повертеть саму функцию дропа, усложнить ее, использовать другие методы, сжатия, шифрования, дропа и тд... Мыслите максимально нестандартно.
Если нужен вариант на один раз, на один запуск, то можно использовать крипт.

Если же вам нужно просто дропнуть файл, то используйте легитимные дропперы, подпишите файл на выходе и вы, возможно, удивитесь...
 
на С# не делал дроппера, но могу посоветовать метод который я использовал в VBA
1-е, дропаешь файл с расширением .gif.
2-е заполняешь файл, ВТОРОЙ половиной файла.
3-е заполняешь сверху первой половиной файла.
4-е переименовываешь или компируешь с новым именем файл.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Any dropper/downloader even simple one will have few detections related to mal.gen or msil or mal.downloader , there must be a very strong encryption method inside source or outside encryption (paid)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх