Me informé sobre RunPe Injection y programé mi propio runPE. Justo en mi primer intento, pude ocultar una carga útil del medidor metro de mi programa antivirus (Avira Antivirus).
La carga útil de meterpreter se almacena cifrada en el disco duro y luego se inyecta en el proceso explorer.exe y se descifra allí.
El hecho de que la carga útil de meterpreter no se pueda reconocer en el disco duro se debe al cifrado, pero en la RAM la carga útil no está cifrada. ¿Por qué el software antivirus no puede detectar la carga útil durante un análisis de memoria?
Si no sabe qué es un runPE haga clic aquí .