Come modificare un codice esadecimale senza corrompere il file [in bypass di av]?

Question

Come modificare un codice esadecimale senza corrompere il file [in bypass di av]?

#1 da (3 voti)

0

Recentemente ho iniziato a studiare bypassando l'AV trovando una firma AV su "nc.exe (NetCat)" e cambiandolo per vedere come funziona. Ho già trovato il luogo della firma con il metodo di suddivisione, quindi dovrei aprire il file nc.exe con un editor esadecimale e modificare il Sig. Ma , ecco come appare:

Suunaltromalwarehoscopertochelafirmaènell'ultimo355bytedelfile:

E entrambi i file si corromperanno modificandoli (aggiungendo o rimuovendo byte)

Domanda: Che cosa dovrei fare per la modifica in queste situazioni? Cosa dovrei sapere per un editing binario di successo nell'escludere av?

Se capisco tutto sbagliato, dimmi cosa devo cercare.

reverse-engineering malware antivirus

posta Aiden Stewart 11.12.2017 - 13:53

fonte

1 risposta

Leggi altre domande sui tag reverse-engineering malware antivirus

C'è un modo semplice per registrare quanto tempo ci vuole da John the Ripper per rompere le password? E 'un vero attacco CSRF?

score 3 · Accepted Answer

Le firme AV sono in genere basate su un modulo hash su un determinato file. Si tratta di merci conosciute o noti file non validi. Se si tratta di un file noto, è possibile modificare alcuni byte qua e là (ad esempio la stringa "impossibile eseguire in modalità DOS"), è possibile avere un file binario che esegue la stessa funzionalità, con un hash diverso.

Ma la maggior parte dei moderni programmi AV / Anti-Malware esamina alcune cose; questo potrebbe includere la firma del codice, il comportamento, ecc.

What should i know for a successful binary editing in bypassing av?

Questo è esattamente ciò che il codice firma cerca di risolvere. Se modifichi il programma, la firma non corrisponderà più e non sarà ritenuta "cieca".

Bypassare l'AV è un argomento vasto, ben studiato con tecniche spesso perspicaci. Puoi avere un "binario non attendibile" che fa cose legittime abbastanza a lungo, in modo che diventi affidabile. Oppure, hai un file binario legittimo (es: qualcosa che viene fornito con il sistema operativo, ecc.) E prova ad abusarne per eseguire qualcosa che non è destinato a fare.