How can I bypass wacatac machine learning detection? C#

[vril]

I created a clipper in C# and I am crypting it and loading the bytes into the memory. I am using Assembly.Load() to accomplish this. On runtime, Windows Defender shows “review files that's we will send...” then gets detected as wacatac machine learning.

Some of the things I have done to bypass it:
-Pumping the file to 300MB
-Changing the files assembly info and icon

I do not want to pump the file anymore because this limits the amount of downloads

What should I do to bypass this? Implement ASMI bypass? Anti emulation?

 

[DildoFagins]

Try using obfuscation instead of cryptors, or try lowering the entropy of the encrypted data. Machine learning is like a blackbox, it is very hard to tell, what is triggering the detection even having the sample and test environment.

 

[NOP]

Try using obfuscation instead of cryptors, or try lowering the entropy of the encrypted data. Machine learning is like a blackbox, it is very hard to tell, what is triggering the detection even having the sample and test environment.

дядя дилда, а можно статью по шарповым обфускаторам и работы с ними?Возможно написание своего в рамках статьи
у днлиба вообще никакой доки нет кроме ридми в гитхабе, глянул на код конфьюзера и понял что я ничего не понял

 

[DildoFagins]

дядя дилда, а можно статью по шарповым обфускаторам и работы с ними?Возможно написание своего в рамках статьи
у днлиба вообще никакой доки нет кроме ридми в гитхабе, глянул на код конфьюзера и понял что я ничего не понял

Да, я могу пояснить за конфьюзер и обфускацию дотнетов. Не то чтобы у конфьюзера была бы прям хорошая реализация алгоритмов обфускации, но он публичный, и на его примере можно чему-то научиться. Не обещаю, что быстро, но постараюсь сделать.

И кстати, я в своих обфускаторах дотнетов не так давно пересел с dnlib на AsmResolver. Там некоторые апишки поудобнее и получше работают, если нужно сложные анализы проводить над MSIL'ом.

 

[vril]

Да, я могу пояснить за конфьюзер и обфускацию дотнетов. Не то чтобы у конфьюзера была бы прям хорошая реализация алгоритмов обфускации, но он публичный, и на его примере можно чему-то научиться. Не обещаю, что быстро, но постараюсь сделать.

И кстати, я в своих обфускаторах дотнетов не так давно пересел с dnlib на AsmResolver. Там некоторые апишки поудобнее и получше работают, если нужно сложные анализы проводить над MSIL'ом.

What obfuscator do you recommend? Currently I am using .NET reactor but I do not like the pop up that occurs when launching the exe. I am going to try to make my own but I am not sure how to.

I also made a stealer but it gets detected because of MSIL detection. I don’t really understand how to bypass MSIL detections either. Might have to give up and buy tools like a skid.

 

[NOP]

И кстати, я в своих обфускаторах дотнетов не так давно пересел с dnlib на AsmResolver. Там некоторые апишки поудобнее и получше работают, если нужно сложные анализы проводить над MSIL'ом.

Во, давай лучше его тогда, через asmresolver можно и с нативными ПЕ работать вроде
Как ни странно нету ни одного рабочего обфускатора который бы его юзал
т.е есть один - netrenamer, но при этом там автор долбоеб который даже не проверил работоспособность своего говна
Оно ренеймит конструкторы и просто ломает бинарь.
Буду ждать

 

[DildoFagins]

What obfuscator do you recommend?

I don't know, I have my custom private obfuscator that is tailored towards antivirus bypass instead of anti-reversing stuff (not for sale). ConfuserEx is public one, but it is used a lot (so it is recognized by a lot of antivirus software) and it has fingerprinting (you need to either modify it, so it won't create ConfusedBy attribute on stuff, or manually delete it from the assembly after the obfuscation). I'd rather search for some commercial obfuscators (cracked or buy one), if you don't have enough skill to dig into obfuscation algorithms. But if you are interested in obfuscation ConfuserEx's sources would be a good place to start your journey (search on github). And for the love of god don't try to buy obfuscation as a service from blackteam007/blackguard.

но при этом там автор долбоеб который даже не проверил работоспособность своего говна
Оно ренеймит конструкторы и просто ломает бинарь.

Да, помимо ".ctor" и ".cctor" еще нельзя переименовывать переопределенные методы и реализации интерфейсов из внешних библиотек (типа ToString), геттеры и сеттеры имеют специальные имена (типа get_Имя_Свойтсва), и специальные классы типа <Module> и <PrivateImplementationDetails>.

 

[Vexer2k]

Remember that when using Assembly.Load it will load AMSI.

 

[NOP]

Да, помимо ".ctor" и ".cctor" еще нельзя переименовывать переопределенные методы и реализации интерфейсов из внешних библиотек (типа ToString), геттеры и сеттеры имеют специальные имена (типа get_Имя_Свойтсва), и специальные классы типа <Module> и <PrivateImplementationDetails>.

Где-то можно ознакомится с полным списком/реализацией с asmresolver где все это учитывают ?Я хотел в личку написать тк оффтоп, но у тебя закрыта

 

[h1z1]

Bypass Amsi using dll [ exported function ] , I guess you are using old Amsi Bypass methods that wan't work , the Amsi bypass still work but you have to found a method . my method iam using it and it gives me 0/22 on scanners runtime .
My method is very simple :
1 - Create empty dll
2 - create new function with random name
3 - write the Amsi patch code [ it's recommended you don't use WriteProcessMemory to write the bytes ]
4 - now create new empty project you can use cpp or c#
5 - load System.Automation to load amsi ( Default )
6 - Create a prototype for the function we have created in the dll that patch amsi and load the dll , run the exported function to patch Amsi
7 - Load your code using Assembly.Load() but don't forget to encrypt it first to bypass scantime detection

I hope this can help you , i will try to share my knowledge once i have free time .