Вопрос о ВинДефендер

[Prevoss]

тут такя ситуация..... может подскажешь? ))

беру стилак редлайн, делаю билд, билд https://prnt.sc/1rq1ris WinRAR.exe, вставляю сюда
https://prnt.sc/1rq1j4e ,
потом этот файл https://prnt.sc/1rq1pgt уже вставляю сюда https://prnt.sc/1rq207h , и получаю на выходе такой файл якобы FUD https://prnt.sc/1rq3lud

потом беру файл через телегу в архиве с паролем шлю на вин 10 вирт ингл версия обновленная без антивирусов, но с виндефендором.... скачиваю с телеги.... файл лежти на рабочем столе в в архиве с паролем... я его на рабочий стол разжимаю и о чудо его не убивает вин деф даже через 5 минут...
потом через 5 минут его запускаю и пизда рулю... https://prnt.sc/1rq3tjw рантайм не пройден... вд пишет угроза и сносит его не укстанавливая, в панели стилака не появляется отстук...

потом гружу в открытом виде то есть не архив а именно как бы я его отдавал траферу WinRar.exe весом 300кб , гружу его в облако и потом с облака уже пытаюсь скачать по ссылке именно хромом... поскольку сертификаты я так понял можно в панели ред к билду привязать, но у меня их нет... соответственно файл скачивается и не сохраняется, пишет угроза вирус и тд, и сносится... https://prnt.sc/1rq40w3 https://prnt.sc/1rq49a8 или даже наверно не скачивается, а только начинает скачивание и на этом стоп...

что бл делать? cryptor.biz показывает по факту FUD, но это на нахождение файла на пк я так понимаю без запуска и даже скачивания, просто его нахождение... и по факту получается, что действительно он лежит и не сноситься виндефом... но при скачивании хромом фейл(потому что сертификаты надо было купить и прилепить в стилаке, указать путь и он к билду их что ли присобачит сразу ? или это надо отдавать кому то билд со стила, чтоб туда сертификаты приклеили? ) и при запуске уже экзешника на пк рантайм тоже фейл и виндеф не устанавливает и не отстукивает в панели не куя...... получается сам стаб билда изначально косолапый или как? имею ввиду что при запуске палиьтся, получается рантайм не проходит... что делать, подскажите укажите что не так и не туда сувал/делал ?

есть мнение что на вирт машине и на реал машине это разные вещи... что все процесы и их сравнивание в боевых рабочих условиях сильно отличаются, все к тому пишу, что старшие товарищи подсказывают очень по чуть... но говорят что надо именно на реал вин 10 пробовать на проход по виндефу.. а не на виртуалках... типа что бывает на вирте палит на реал не палит и наоборот... но однозначно сказали только на реал машинах... что по этому поводу, кто то прокоментирует и поставит приоритеты...

 

[m4key]

Тебе просто нужен нормальный крипт с обходом wd amsi, если есть монета пиши зделаю =)

 

[Haunt]

Тебе просто нужен нормальный крипт с обходом wd amsi, если есть монета пиши зделаю =)

Нахера ты его наебываешь? Тебя не смущает, что даже при чистом загрузчике PE файлов, а если речь про AMSI, то предположительно он у тебя на powershell, у тебя конечный бинарь в памяти светиться будет и его авер сожрет при рескане памяти, если файл грязный сам по себе?

 

[m4key]

А ничего что я делаю патч amsi.dll умник? и унего стилак который отработает и удалится

 

[Haunt]

А ничего что я делаю патч amsi.dll умник? и унего стилак который отработает и удалится

И как это связано с тем, что я сказал выше? Ну делаешь ты патч, и? Как это прячет его билд стиллера в памяти?

 

[m4key]

Ну сделай тесты и посмотри =)
Я тоже использую RedLine и знаю что пишу, а патч amsi.dll это и есть патч сканера памяти.

 

[Haunt]

Ну сделай тесты и посмотри =)
Я тоже использую RedLine и знаю что пишу, а патч amsi.dll это и есть патч сканера памяти.

Делал тесты на metasploit, кобальте. И не раз. Ещё до твоей регистрации тут=)
Патч amsi.dll лишь позволяет не передавать на скан контент скрипта, который хочешь исполнить, в данном случае скрипт PE загрузчика. Но это не скрывает выделенную память с правами на исполнение, ее так же авер успешно сканит, для этого ему интерфейс AMSI не нужен. Простыми словами если, загрузка PE может успешно пройти, powershell скрипт исполнится, и спустя секунду или минуту прилетает детект в памяти. Когда уже завершился powershell сценарий и работает софт, который ты грузишь. Powershell загрузчик может быть чист, именно тут роляет патч AMSI.dll. Но а дальше ты ничего не сделаешь, если сам бинарь, который грузишь, палится в рантайме. Именно по этой причине это нихера не серебряная пуля для беспалевной работы бинарей. И если тебе повезло проскочить по какой-либо причине, это ещё не значит что тема работает безотказно. Ща наобещаешь, потом арбитражи от ТС’а словишь, потому что и сам не знал =)

 

[DildoFagins]

Я тоже использую RedLine и знаю что пишу, а патч amsi.dll это и есть патч сканера памяти

Через AMSI сканируются только скрипты Powershell/VBScript/JScript перед их исполнением и Dotnet-сборки в момент Assembly.Load (Dotnet-фреймворк 4.8). Ничего не мешает антивирусу сканировать память вне зависимости от AMSI.

 

[m4key]

Ты сделай тесты на Redline о этом человек написал а не о кобе или мете!

 

[†אָ†]

Крипт, крипт и крипт

 

[WhiteDragon]

Ты сделай тесты на Redline о этом человек написал а не о кобе или мете!

какая разница. через Loadpe твой бинарь окажется в контексте powershell.exe, и тут никакой патч и прочее не поможет. Ибо сдампив проц пш там окажется сигнатура твоего редлайна, или по просту по поведению.
Вангую, что патч обходишь через Invoke-Obfuscator поставив 2-3 параметра и пытаешься пихнуть тс.

Не понимаю, че сложно найти кодера который напишет фуд стиллер под Ваши задачи и будет его держать в рантайме и скантайме чистым. Да, будет дороговато, но лучше чем терять 30-40% отстука, это раз, и рекриптить за 50$ при каждом проливе... Ах да, еще смарт, хром алерты. ИМХО такой путь никуда, либо чисто на фарту работа.

 

[diletant]

как только твой лодпе загрузит грязный бинарь в память,сразу отлетит. тем более редлайн. там уже ничего не спасёт,кроме выключения ав

 

[Prevoss]

Не понимаю, че сложно найти кодера который напишет фуд стиллер под Ваши задачи и будет его держать в рантайме и скантайме чистым. Да, будет дороговато, но лучше чем терять 30-40% отстука, это раз, и рекриптить за 50$ при каждом проливе... Ах да, еще смарт, хром алерты. ИМХО такой путь никуда, либо чисто на фарту работа.

снова и снова вижу такое мнение, спасибо за совет, наверно туда и рыть буду... потому что я тоже не могу понять, как без исходников мне пытаются почистить ран?)) отключить виндеф и все ав на пк)) ну это уже совсем другая история и реальна ли она в этом сегменте, это врятли )))

а еще так понял, что чтоб чудо произошло, надо дунуть и так дунуть, что аж вд выключиться и ав выключится и не пересамозапуститься и в этот момент должен запуститься билд от реда и все отстучать должно... но так понимаю что это анрил.. хоть и есть даже модули для VM типа они отключают вд, но в последней редакции такого модуля, почему то вд не отключется)

 

[mrnone]

Делал тесты на metasploit, кобальте. И не раз. Ещё до твоей регистрации тут=)
Патч amsi.dll лишь позволяет не передавать на скан контент скрипта, который хочешь исполнить, в данном случае скрипт PE загрузчика. Но это не скрывает выделенную память с правами на исполнение, ее так же авер успешно сканит, для этого ему интерфейс AMSI не нужен. Простыми словами если, загрузка PE может успешно пройти, powershell скрипт исполнится, и спустя секунду или минуту прилетает детект в памяти. Когда уже завершился powershell сценарий и работает софт, который ты грузишь. Powershell загрузчик может быть чист, именно тут роляет патч AMSI.dll. Но а дальше ты ничего не сделаешь, если сам бинарь, который грузишь, палится в рантайме. Именно по этой причине это нихера не серебряная пуля для беспалевной работы бинарей. И если тебе повезло проскочить по какой-либо причине, это ещё не значит что тема работает безотказно. Ща наобещаешь, потом арбитражи от ТС’а словишь, потому что и сам не знал =)

Друг, а ты не криптуешь случайно?) Не редлайн, приват стил.