Înainte de a va fi prezentat cu același cod pentru a ocoli protecția pe limbajul C ++, este demn de remarcat un instrument eficient pentru crearea de fișiere binare, care sunt evită aproape întotdeauna de detectare a - l Veil-Fraudă (parte a Veil-cadru). Acest instrument este într-adevăr foarte eficient în cele mai multe cazuri, iar fișierele generate sunt adesea testate cu succes de către VirusTotal.
întrebare este destul de logic: dacă există instrumente, cum ar fi Veil Evasion, de ce trebuie să deranjez cu crearea de plic sarcină utilă binar?
Aceasta este pentru mai multe motive:
- Instrumente tind să devină depășite;
- Fișierele binare generate de instrumente pot fi identificate - și nu neapărat sarcina utilă, și structura binar;
- Pentestery trebuie să știe cum să creați fișiere binare le.
Pur și simplu, următorul cod creează o serie de caractere din codul shell pe care le puteți adăuga, efectuează o operațiune XOR cu chei extrem de sensibile cu litere mici „x“, alocă o parte din memorie și executate. Merită să subliniem că trebuie să-și încheie shell în XOR cu codul cheie înainte de compilare.
Un fișier binar care va fi generată nu va fi posibil să se conformeze caz test SHA256. În codul binar coajă descărcat a fost generat folosind cadrul Metasploit.
concluzie
Deci, antivirusul este mort. Știm cu toții că. Așa cum se spune: nu putem spune că 95 la sută dintre companii se bazează pe antivirus pentru a menține securitatea stațiilor de lucru.
Există o modalitate mai bună? Absolut. Unii furnizori, care nu vom numi, au lansat produse care reprezintă o nouă abordare pentru protecția stațiilor de lucru, care au ca scop detectarea tehnici exploituri. Acest lucru se realizează de obicei prin procese de injectare DLL care efectuează monitorizarea acestor tehnici și pentru a preveni operarea cu succes a acestora.
Notă: Soluția prezentată nu poate lucra cu toate produsele antivirus.