помощь моему знакомому

[dplane]

написал мне старый знакомый такое, а я даже и не знаю что ответить ибо с малвари не работаю:

Привет, не знаю если ты сможешь дать ответ, но в любом случае ничего не потеряю если спрошу.
У меня есть способ получения контроля в доверенном процессе на винде, но проблема в том что я никогда раньше подобным не занимался (я буквально узнал об уязвимости 2 недели назад). Первое что мне пришло в голову, так это загрузить на сервер стилер и просто подгружать стилер с сервера напрямую через "http://ip:port/get_exe" (для примера написал). Но понял что это х#йня и детектит виндовс дефендер (имею в виду что при запуске детектит, при получении файла не детектит). Щас думаю есть ли смысл грузить не .exe а запароленный .zip разархивировать его и только потом запускать .exe. Но мне это тоже кажется сомнительным. Так что решил спросить совета, может знаешь и подскажешь.
Может можно имея доступ к машине как то запустить .exe чтобы не запалил av? я видел что можно как то в буфер подгружать или что то с ратником сделать (чтобы рат подгружал стилер), но я это узнал пару часов назад, пока не тестил. Сейчас спать пойду, так что решил перед уходом тебе написать

 

[exodus365]

А криптовать файл не пробовал?

 

[JonnySilver]

Как будто и вправду, если АВ детектит только при запуске, то хватит закриптовать его просто

 

[dplane]

ok, sps

 

[Ge0rGan]

Инжект в процес + крипт

 

[LikOs]

Дам код на С++ запускает пейлоад шелкод в обход wd . На основе этого можешь связать код. Я пью только белое сухое вино и сыр для приятного после вкусия. Данатный кошелёк скину в личные сообщения если интересно.

 

[Kodex]

при запуске детектит, при получении файла не детектит

скорее всего тут криптор и не поможет детектирует не статику или криптор нужен реально хороший, а не то Г что обычно предлагают

 

[Aristotelcode]

Вот рабочий лоудер, который обходит Windows Defender. Автор: Folz, так что претензии по поводу «кода из ChatGPT» не принимаются (в отношении меня). Кодовая база требует доработки, но если вам важен только результат, можно ничего не менять. Язык программирования: C#.

 

[WitchDoctor]

написал мне старый знакомый такое, а я даже и не знаю что ответить ибо с малвари не работаю:

for loader in windows first read PE structure.
after use PE loader Address1 and read it. you have to change some codes.
but for bypass av/edr you must use your encryption method (not XOR) and you have to comment lines for find a line that your av/edr detect it and change it.