Знаю что можно накинуть обфускатор и мусорного кода, но хотелось бы чего то еше, по сколько после обфускатора чистый exe начинает детектиться и приходится изьебнуться чтоб он стал чистым. Хотелось бы написать свой криптор для .NET но не понимаю в какую сторону вообще гуглить и с чего начать. Если кто-то знает за крипторы для .NET, то подскажите дураку, и подбросьте пару советов как еше можно обходить АВ по мимо крипторов и обфускаторов ?
-
XSS.stack #1 – первый литературный журнал от юзеров форума
[C#] как спрятать свое чудо от антивирусов ?
- Автор темы MangaM
- Дата начала
-
- Теги
- #криптор .net программировнаие
зачем писать криптор если на руках есть исходный код ? да и написть хороший криптор задача не из простых, если интерес как это всё работает то загугли например C# reflective loader ну и по форуму достаточно много информации для изучения
Ну если вы пишите криптор на C# для C#, то вот это:
Шифрование надеюсь сами загуглите...
На фреймворке 4.8 всё, что загружает CLR (не важно через Assembly.Load или через другие методы, все вызовы в итоге вызывают один и тот же метод) отправляется на сканирование через AMSI, так что перед вызовом хорошо бы AMSI отрубить. И ETW тоже, поскольку информацию о загруженных в память Assembly всякие process explorer'ы получают из ETW обычно.
You can try different types of injection before deployment of the full malware. See for example scarecrow on git
- Автор темы
- Добавить закладку
- #6
а если фрейм 4.5 ?
По-моему только с 4.8 ввели AMSI для дотнета, мое замечание про ETW касается всех фреймворков, даже какого-то неимоверно старого, типа 2.0.
- Автор темы
- Добавить закладку
- #9
как отключить ETW ?
Похукать EtwEventWrite, много реализаций есть на github, в том же donut'е. Плюс есть complus_etwenabled переменная окружения, но это, наверное, актуально только для дотнетов и павершеллов (тк complus префикс имеет).
- Автор темы
- Добавить закладку
- #11
ты берешь падаванов ?
анхуки впринципе необходимы,
аваст какой-нибудь на них работает