malware Копируем подпись с любого exe (убирает некоторые детекты)

[ClopSka]

Сразу к делу!
Ставим Python, я использовал версию 3.7.3 https://www.python.org/downloads/release/python-373/

Качаем скрипт для подписи SigThief-master.zip
Пароль на архив: xss.pro

Открываем командную строку windows:
win+r и пишем: cmd
Распакуем файл sigthief.py из архив на диск C в корень что бы не путаться:

Пишем в командной строке:

CD /

После ложим свой троян/стиллер рядом с sigthief.py называем его: build.exe
Ложим любой exe у которого есть подпись так же рядом с build.exe и sigthief.py, например exe google chrome и называем его key.exe

В командной строке пишем команду:

sigthief.py -i key.exe -t build.exe -o yesbuild.exe

Скрипт создаст уже подписанный файл с названием yesbuild.exe​

Конечно цифровая подпись будет не действительна, но детекты реально снимает.
Использовать как дополнение после крипта очень да же не плохо!

 

[Cl0Ud5]

А есть разница между этим вариантом и вариантом через батник + signtool, где можно любое название указать?

 

[cr33p]

не тригернет ли это еще сильнее дефолтный windows defender ?

 

[Nil$]

не тригернет ли это еще сильнее дефолтный windows defender ?

Присоединяюсь к вопросу.
Кто-нибудь тестил?

 

[Nil$]

вариантом через батник + signtool, где можно любое название указать?

Расскажи подробнее?

 

[Bozon]

не тригернет ли это еще сильнее дефолтный windows defender ?

Тригернет. В посл время их cloud protection жестит нереально.
Детект в памяти + в облаке мгновенное распознавание, не знаю какой они алгоритм или нейронку добавили, но криптовщикам доставляет боль в пятой точке :smile46:

 

[cr33p]

я конечно не спец в этом, но что если тупо выключать дефендер через тот же powershell к примеру ?

 

[Bozon]

я конечно не спец в этом, но что если тупо выключать дефендер через тот же powershell к примеру ?

powershell -Command "Set-MpPreference -DisableRealtimeMonitoring 1"

От админа пробовал - эффекта нет :smile53: как еще можно?