Mi sono informato su RunPe Injection e ho programmato il mio runPE. Proprio al mio primo tentativo, sono stato in grado di nascondere un payload meterpreter dal mio programma antivirus (Avira Antivirus).
Il payload meterpreter viene memorizzato crittografato sul disco rigido e quindi inserito nel processo explorer.exe e decrittografato lì.
Il fatto che il payload meterpreter non possa essere riconosciuto sul disco rigido è dovuto alla crittografia, ma nella RAM il payload non è crittografato. Perché il software antivirus non può rilevare il carico utile durante una scansione della memoria?
Se non sai cosa è un runPE fai clic qui .