Обход Windows Defender/SmartScreen - как сделать?

[V1rtualGh0st]

Доброго времени суток! Пишу криптер. Подскажите как можно обойти windows defender, а именно тот момент когда ты загружаешь exe файл на компьютер и WinDef его сканирует. Может есть ссылка на статью с описанием того как это можно реализовать.

Не понятный вопрос, грузишь сам стаб на диск, или из стаба грузишь грязный файл?

Ну обфускатор, как и в принципе криптор, может переделать вызовы апи на вызов сискола, не то чтобы это много от чего поможет, но просто, как пример.

Ещё как вариант парс всех винапи вызовов из криптуемого файла, затем анхук всех этих функций из стаба

 

[DildoFagins]

Ещё как вариант парс всех винапи вызовов из криптуемого файла, затем анхук всех этих функций из стаба

Хуки будут на нескольких уровнях ниже, условно нагрузка использует CreateFile, а хук стоит на NtCreateFile, которую CreateFile вызывает в процессе работы.

 

[Volk_v_Shkure]

Не понятный вопрос, грузишь сам стаб на диск, или из стаба грузишь грязный файл?

Из стаба.

 

[V1rtualGh0st]

Хуки будут на нескольких уровнях ниже, условно нагрузка использует CreateFile, а хук стоит на NtCreateFile, которую CreateFile вызывает в процессе работы.

Тогда и нтдлл функции также нужно анхукнуть

Из стаба.

Если грузишь .net файл, тогда при инвоке твой грязный файл всё равно будет проверятся на сигнатуры, всё дело в amsi, в твоём случае амси нужно патчить в памяти (на гитхабе есть готовый код и техники), так же желательно патчить etw

ёще вопрос как ты его грузишь: дропаешь на диск\выполняешь в памяти

 

[Volk_v_Shkure]

Если грузишь .net файл, тогда при инвоке твой грязный файл всё равно будет проверятся на сигнатуры, всё дело в amsi, в твоём случае амси нужно патчить в памяти (на гитхабе есть готовый код и техники), так же желательно патчить etw

На каком этапе нужно производить патч?

ёще вопрос как ты его грузишь: дропаешь на диск\выполняешь в памяти

Выполняю в памяти.

 

[distamx]

Если грузишь .net файл, тогда при инвоке твой грязный файл всё равно будет проверятся на сигнатуры, всё дело в amsi, в твоём случае амси нужно патчить в памяти (на гитхабе есть готовый код и техники), так же желательно патчить etw

Никто не вешает детект (кроме продвинутых EDR, Sentinel/Symantec пропускает) на дотнет модуль, если он поморфленный.
А на патчи amsi/etw - детект вешать проще.

Патчи нужны для плохих повершеллов - в остальном это бесполезное занятие

 

[V1rtualGh0st]

Никто не вешает детект (кроме продвинутых EDR, Sentinel/Symantec пропускает) на дотнет модуль, если он поморфленный.

Если модуль поморфленный и не имеет сигнатур, то и амси патчить не надо в таком случае

А на патчи amsi/etw - детект вешать проще.

Ну спорно тоже, т.к даже почищенный паблик код патча амси не детектят ав + можно патч реализовать через сисколлы, убрав детекты в рантайме

Патчи нужны для плохих повершеллов - в остальном это бесполезное занятие

.Net amsi и powershell amsi не одно и тоже, с не пропатченным амси ты не сможешь рефлекцией загрузить .net сборку, если эта сборка уже имеет детект

На каком этапе нужно производить патч?

Перед инвоком сборки

UPD: перед загрузкой как ниже написали, я сонный перепутал малёх

 

[DildoFagins]

Перед инвоком сборки

Перед Assembly.Load.

 

[X-Shar]

Скажу может-быть банальные вещи, недавно был на одном форуме, где помогают в лечении ПК.

Так там целая эпедемия майнера, которого детектят почти все антивирусы...)))

Вот вы всё тут мучаетесь, как обойти АВ ?

А я-бы поставил вопрос так, "Как обойти человека ?", поясню:

Вот пример с майнером, сами пользователи отключают АВ и добовляют вредоноса в исключения...)

Такие-вот дела!