(I am using C#)
I always get Wacatac machine learning detection from windows defender on runtime. I am using a clipper that I coded and crypting it with a simple crypter that I also made. The crypter uses Assembly.Load to load the decrypted bytes into memory. My clipper is 0/26 when I scan it. I crypt my clipper and it is again 0/26. I then go test on my virtual machine and its detected as Wacatac. What could be causing this? Is it just windows defender being suspicious about a unsigned exe being executed? I have been stuck on this detection for over a year now. I have tried using process hollowing and this did not help. It might be my startup or how I move the file? I simply add a short cut to startup folder using win32 api. I move my exe to the user profile path using File.Move(). I have commented those lines out of my code and it is still usually detected though. Someone mentioned that I need to lower my entropy and I have no clue how to do this. Is this just using a shorter password for my AES decryption? I do not obfuscate either my crypted file or my clipper before I crypt it because I do not know of a good obfuscator that doesnt cause detections and I lack knowledge to make my own. I am testing a VM that is updated and downloading the file from justbeamit.com and or transfer.sh. I also took a snapshot from when I first installed the VM. After I get a detection, I restore it to the fresh install state. Am I testing correctly? I understand that VMs sometimes play a role in machine learning detections but my VM is not "dirty".
I can provide my crypter source code or my clipper source code to anyone who has knowledge and is willing to help me stop this detection. Post your telegram below.
Посмотреть вложение 52802
Посмотреть вложение 52804
--------TRANSLATE TO RUSSIAN WITH GOOGLE TRANSLATE--------
Я всегда получаю обнаружение машинного обучения Wacatac от защитника Windows во время выполнения. Я использую клипер, который я закодировал, и шифрую его с помощью простого шифровальщика, который я также сделал. Шифровальщик использует Assembly.Load для загрузки расшифрованных байтов в память. Мой клипер 0/26, когда я его сканирую. Я шифрую свой клипер, и это снова 0/26. Затем я тестирую свою виртуальную машину, и она определяется как Wacatac. Что может быть причиной этого? Это просто защитник Windows с подозрением относится к выполнению неподписанного exe? Я застрял на этом обнаружении больше года. Я пробовал использовать процесс выдалбливания, и это не помогло. Это может быть мой запуск или как я перемещаю файл? Я просто добавляю ярлык в папку автозагрузки, используя win32 api. Я перемещаю свой exe-файл на путь профиля пользователя, используя File.Move(). Я прокомментировал эти строки в своем коде, и это все еще обычно обнаруживается. Кто-то упомянул, что мне нужно понизить энтропию, и я понятия не имею, как это сделать. Это просто использование более короткого пароля для расшифровки AES? Я не запутываю ни свой зашифрованный файл, ни свой клиппер перед тем, как зашифровать его, потому что я не знаю хорошего обфускатора, который не вызывает обнаружений, и мне не хватает знаний, чтобы сделать свой собственный. Я тестирую обновленную виртуальную машину и загружаю файл с сайта justbeamit.com или transfer.sh. Я также сделал снимок, когда впервые установил виртуальную машину. После обнаружения я восстанавливаю его до нового состояния установки. Правильно ли я тестирую? Я понимаю, что виртуальные машины иногда играют роль в обнаружении машинного обучения, но моя виртуальная машина не является «грязной».
Я могу предоставить исходный код моего шифровальщика или исходный код моего клипера любому, кто обладает знаниями и готов помочь мне остановить это обнаружение. Разместите свою телеграмму ниже.
I always get Wacatac machine learning detection from windows defender on runtime. I am using a clipper that I coded and crypting it with a simple crypter that I also made. The crypter uses Assembly.Load to load the decrypted bytes into memory. My clipper is 0/26 when I scan it. I crypt my clipper and it is again 0/26. I then go test on my virtual machine and its detected as Wacatac. What could be causing this? Is it just windows defender being suspicious about a unsigned exe being executed? I have been stuck on this detection for over a year now. I have tried using process hollowing and this did not help. It might be my startup or how I move the file? I simply add a short cut to startup folder using win32 api. I move my exe to the user profile path using File.Move(). I have commented those lines out of my code and it is still usually detected though. Someone mentioned that I need to lower my entropy and I have no clue how to do this. Is this just using a shorter password for my AES decryption? I do not obfuscate either my crypted file or my clipper before I crypt it because I do not know of a good obfuscator that doesnt cause detections and I lack knowledge to make my own. I am testing a VM that is updated and downloading the file from justbeamit.com and or transfer.sh. I also took a snapshot from when I first installed the VM. After I get a detection, I restore it to the fresh install state. Am I testing correctly? I understand that VMs sometimes play a role in machine learning detections but my VM is not "dirty".
I can provide my crypter source code or my clipper source code to anyone who has knowledge and is willing to help me stop this detection. Post your telegram below.
Посмотреть вложение 52802
Посмотреть вложение 52804
--------TRANSLATE TO RUSSIAN WITH GOOGLE TRANSLATE--------
Я всегда получаю обнаружение машинного обучения Wacatac от защитника Windows во время выполнения. Я использую клипер, который я закодировал, и шифрую его с помощью простого шифровальщика, который я также сделал. Шифровальщик использует Assembly.Load для загрузки расшифрованных байтов в память. Мой клипер 0/26, когда я его сканирую. Я шифрую свой клипер, и это снова 0/26. Затем я тестирую свою виртуальную машину, и она определяется как Wacatac. Что может быть причиной этого? Это просто защитник Windows с подозрением относится к выполнению неподписанного exe? Я застрял на этом обнаружении больше года. Я пробовал использовать процесс выдалбливания, и это не помогло. Это может быть мой запуск или как я перемещаю файл? Я просто добавляю ярлык в папку автозагрузки, используя win32 api. Я перемещаю свой exe-файл на путь профиля пользователя, используя File.Move(). Я прокомментировал эти строки в своем коде, и это все еще обычно обнаруживается. Кто-то упомянул, что мне нужно понизить энтропию, и я понятия не имею, как это сделать. Это просто использование более короткого пароля для расшифровки AES? Я не запутываю ни свой зашифрованный файл, ни свой клиппер перед тем, как зашифровать его, потому что я не знаю хорошего обфускатора, который не вызывает обнаружений, и мне не хватает знаний, чтобы сделать свой собственный. Я тестирую обновленную виртуальную машину и загружаю файл с сайта justbeamit.com или transfer.sh. Я также сделал снимок, когда впервые установил виртуальную машину. После обнаружения я восстанавливаю его до нового состояния установки. Правильно ли я тестирую? Я понимаю, что виртуальные машины иногда играют роль в обнаружении машинного обучения, но моя виртуальная машина не является «грязной».
Я могу предоставить исходный код моего шифровальщика или исходный код моего клипера любому, кто обладает знаниями и готов помочь мне остановить это обнаружение. Разместите свою телеграмму ниже.