Antivirus támadás alatt bypass vírusvédelem 10 sornyi kódot
Mielőtt bemutatásra kerül ugyanazzal a kóddal, hogy megkerülje a védelem a C ++ nyelven, érdemes megjegyezni, hatékony eszköz létrehozása bináris fájlok, amelyek szinte mindig ne derüljön - ez Fátyol-Evasion (részben a Fátyol-keret). Ez az eszköz valóban nagyon hatékony a legtöbb esetben a generált fájlok gyakran sikeresen tesztelték VirusTotal.
kérdés egészen logikus: ha vannak olyan eszközök, mint a fátyol Evasion, hogy miért kell bajlódnia létrehozása bináris hasznos borítékban?
Ez számos ok miatt:
- Eszközök hajlamosak feleslegessé vált;
- A bináris fájlok által létrehozott eszközöket lehet azonosítani - és nem feltétlenül a hasznos, és a szerkezet a bináris;
- Pentestery kell tudni, hogyan kell létrehozni a bináris fájlok magad.
Egész egyszerűen, a következő kód létrehoz egy sor karakter a shell kódot, amit felvehet, elvégzi XOR művelet nagyon érzékeny gombokkal a kisbetűs „x”, kiosztja memóriát és kivégezték. Érdemes hangsúlyozni, hogy szükség van, hogy csavarja el héj XOR a kulcs kód fordítás előtt.
A bináris fájl jön létre, nem lehet eleget SHA256 teszt. A letöltött bináris shell kódot az keletkezett a Metasploit keretet.
következtetés
Tehát az antivírus halott. Mindannyian tudjuk, hogy. Mint mondják: nem mondhatjuk, hogy 95 százaléka a vállalatok támaszkodnak antivírus biztonságának fenntartása érdekében a munkaállomások.
Van egy jobb út? Abszolút. Egyes gyártók, akik nem fogunk nevezni, indított termékek jelentenek az új megközelítés védelme munkaállomások, amelyek célja, hogy kimutatjuk hasznosítja technikákat. Ez általában úgy történik, DLL injekció folyamatok, amelyek végrehajtják ellenőrzését az ilyen technikák és megakadályozzák a művelet sikeres volt.
Megjegyzés: A bemutatott megoldás nem működik minden antivírus termékeket.