• XSS.stack #1 – первый литературный журнал от юзеров форума

Поделитесь способами обхода антивируса от RAT на PYTHON

Отслеживать
paskal_XIII

paskal_XIII

CD-диск
Забанен
Регистрация
05.02.2025
Сообщения
19
Реакции
0
Пожалуйста, обратите внимание, что пользователь заблокирован
Написал софт , вот его функционал:
🔒/capture_pc - Сделать и отправить скриншот рабочего стола.

📝/keylogs - Получить файл с логами нажатий клавиш.

ℹ️/pc_info - Получить информацию о системе.

💬/msg_box <текст> - Отобразить сообщение на экране.

🌍/ip_info - IP-адрес и местоположение.

📄/download_file <путь> - Скачать файл с компьютера.

📂/list_dir <путь> - Получить список файлов в директории.

▶️/run_file <путь> - Запустить файл на компьютере.

💣/self_destruct - Уничтожить все следы присутствия на компьютере.

подскажите,как можно обойти антивирус,сейчас его блокает при апуске exe даже дефендер😹
желательно, если не трудно приведите примеры кода
upd: обфусцировал тьфу бля, если интересно накидайте лайкосов закину обрусцив и исходник
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
first thing to think of is to encrypt your payload and decrypt it at execution time and better to execute into memory
also don't name your functions with suspicious names better to encrypt it too
also you can put delay on execution and execute your payload on stages

for sorry pyarmor and pyinstaller both even if your soft not maleware it might get detected by WD
 
Последнее редактирование:
Пожалуйста, обратите внимание, что пользователь заблокирован
Dota2 сказал(а):
first thing to think of is to encrypt your payload and decrypt it at execution time and better to execute into memory
also don't name your functions with suspicious names better to encrypt it too
also you can put delay on execution and execute your payload on stages

for sorry pyarmor and pyinstaller both even if your soft not exe it might get detected by WD
Благодарю!
 
несколько идей...

начал бы рубити на кусках, то есть на модули, веси функционал, чтобы разобратся что именно тригерует АВ. само скорее что это функция енумерация девайса (pc info), и кейлоггер. после этого подумал бы как обфуцировать или менять код в те модули, чтобы больше не триггерил. это можно быти легко, или сложно, сам не пытался обфусцировать функционал в Python-е никогда так что не могу дать там конкретный совет. но идея то же самая.

второе. если конечний результат это всё равно будет .exe, то смело берем и делаем толи свой, толи купим криптер. на форумах есть много трэдов на написание их, даже есть исходники. свой первый я написал на C#, с помощю Donut-a лоадил в памяти щэлкод (with process hollowing technique) и так у меня был вполне рабочий, даже если довольно грубенкий криптер. так как у тебя свой софт и сигнатура в памяти у АВ не сушествует, у тебя это получится лучше чем взять уже распознаный вредоносный код (типа Quasar).

а для начало, начинай с модуляризацией. какие там алерты даёт Дефендер? Wacatac!ml?
 
Попробуй утилиту - GoCheck

gocheck — реализация DefenderCheck на языке Go, которая помогает определить какие места в программе/утилите детектируются средствами защиты
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх