Вопрос - обфускация скрипта \ тихий подгруз

[KlavaKoka9912]

Здравствуйте, только разбираюсь в теме, если что то напутаю, не нападайте

Есть софт, при установке он записывает повершел код в планировщик задач на подгруз билда криптованного
После выполнения дефендер понятное дело сразу орет о том что это троян

В какую сторону смотреть чтобы это исправить и дефендер не палил вирус?
Я так понял 2-а вариант
1) обфускация повершел скрипта так, чтобы он не палился перед дефендером
2) нужно чтобы сам софт подгружал билд в память и там выполнялся

Если оба варианта рабочих, к кому нужно обращаться? перелазил и этот и соседние форумы, найти кто такое может сделать не мог, что делаю не так?

 

[WhiteDragon]

1. Подгруз билда криптованного:
Как именно идет запуск? Дроп и запуск? Или Loadpe? Тут тоже может быть детект

2. Когда ставишь на планирощика задач, то ты даешь пш аргументы типа -Command, -EncodedCommand, -File. Ав тоже смотрят на это и многие детектят (ну что поделаешь, лучше в детекты занести и портить жизнь тем же вайтам своими идиотскими поступками)

3. Обфуцируй пш скрипт. Первым делом может AMSI схавать на подгруз билда.

4. Loadpe не всегда спасет (подгруз в память). При рескане памяти повершелла и дампа будет чистая сигнатура твоего билда.

 

[woodenb0x]

"Понятное дело" - это почему понятное? У твоего билда детектов нет? Exec Policy = ?
Выложи скрипт для начала.