Come rendere noti programmi maligni non rilevabili dalle soluzioni antivirus? [chiuso]

Naviga le tue risposte
1

Voglio rendere noti programmi dannosi, come Mimikatz e Incognito , non rilevabili dalle soluzioni antivirus.

Ho già provato vari approcci, come ad esempio il riempimento del binario con UPX o la modifica del codice sorgente in C / C ++ (+ varie ottimizzazioni del compilatore). Basti dire che le mie modifiche al codice sorgente non sono semplici, ma utilizzano varie forme di refactoring e rimozione di funzionalità non necessarie.

Tuttavia, mentre tutti i miei tentativi hanno ridotto il numero di rilevamenti su virustotal.com, la maggior parte delle soluzioni antivirus segnala i binari risultanti come malware.

Come posso modificare o offuscare i programmi, sia al codice sorgente che a livello binario, per renderli non rilevabili dalla maggior parte delle soluzioni antivirus?

    
posta Shuzheng 26.06.2018 - 20:10
fonte

2 risposte

0

How to make a well-known malicious programs undetectable by anti-virus solutions?

Giusto per essere chiari: nel corpo della domanda chiedi "Come posso modificare o offuscare i programmi ... per renderli inosservabili ..." Questa non è la domanda che sto rispondendo. Sto fornendo una risposta alla domanda più generale posta nel titolo del post. La ragione di questo è perché è difficile rispondere alla domanda di modifica / offuscamento senza sapere esattamente come gli strumenti AV eseguono le loro impronte digitali.

Ma comunque, una tecnica che ho trovato molto utile è quella di guardare la configurazione del programma AV. Spesso un utente non privilegiato può visualizzare le impostazioni, anche se non possono modificare la configurazione. Nelle impostazioni ci sono spesso un numero di località "escluse". Ad esempio, un'azienda potrebbe voler escludere determinate sottocartelle "Programmi" da sottoporre a scansione perché "si fida" del tutto eseguibile in tali cartelle.

Se trovi una cartella "fidata", scarica semplicemente una versione 7zip / criptata di mimikatz (o qualsiasi altra cosa tu voglia) nella cartella attendibile e decomprimila sul posto. Boom, ci sei.

    
risposta data 26.06.2018 - 21:55
fonte
0

Un'altra opzione che hai è usare metamorfismo e tecniche polimorfiche. Questo ti permetterà di passare alcuni motori AV, a seconda del tuo codice e di quello che stai facendo, ma sarà sicuramente noioso.

    
risposta data 26.06.2018 - 22:01
fonte

Leggi altre domande sui tag

La creazione di una password derivata è sicura? Come sfruttare i parametri JSON trascurabili