¿Por qué RunPE Injection puede evitar el software antivirus?

4

Me informé sobre RunPe Injection y programé mi propio runPE. Justo en mi primer intento, pude ocultar una carga útil del medidor metro de mi programa antivirus (Avira Antivirus).

La carga útil de meterpreter se almacena cifrada en el disco duro y luego se inyecta en el proceso explorer.exe y se descifra allí.

El hecho de que la carga útil de meterpreter no se pueda reconocer en el disco duro se debe al cifrado, pero en la RAM la carga útil no está cifrada. ¿Por qué el software antivirus no puede detectar la carga útil durante un análisis de memoria?

Si no sabe qué es un runPE haga clic aquí .

    
pregunta NewInFireFox 03.06.2018 - 21:36
fuente

1 respuesta

1

Los AV pueden, y lo hacen, detectar malware en la memoria con firmas, así como el acto de inyección de procesos. Intenta ejecutar el mismo ataque contra otros AV y obtendrás diferentes resultados. ¿Tal vez subirlo a Virus Total oy Hybrid Analysis y ver qué AVs lo detectan allí?

Aparte de esto, Avira no es un buen AV, como has probado, recomiendo usar otra cosa.

    
respondido por el Peanut 13.07.2018 - 20:16
fuente

Lea otras preguntas en las etiquetas