¿Cómo hacer que los programas maliciosos conocidos no sean detectables por las soluciones antivirus? [cerrado]

Navega tus respuestas
1

Quiero hacer que programas maliciosos conocidos, como Mimikatz y Incognito , no sean detectables por las soluciones antivirus.

Yo mismo ya he probado varios enfoques, como empaquetar el binario con UPX o modificar el código fuente en C / C ++ (+ varias optimizaciones del compilador). Basta con decir que mis modificaciones al código fuente no son simples, sino que usan varias formas de refactorización y eliminación de características innecesarias.

Sin embargo, aunque todos mis intentos han reducido el número de detecciones en virustotal.com, aún la mayoría de las soluciones antivirus marcan los binarios resultantes como malware.

¿Cómo puedo modificar u ofuscar los programas, ya sea en el código fuente o en el nivel binario, para que no sean detectables por la mayoría de las soluciones antivirus?

    
pregunta Shuzheng 26.06.2018 - 20:10
fuente

2 respuestas

0
  

¿Cómo hacer que los programas maliciosos conocidos no sean detectables por las soluciones antivirus?

Solo para ser claro: en el cuerpo de la pregunta, haga "Cómo puedo modificar u ofuscar los programas ... para que sean indetectables ..." Esta no es la pregunta que estoy respondiendo. Estoy proporcionando una respuesta a la pregunta más general planteada en el título de la publicación. La razón de esto es que es difícil responder a la pregunta de modificación / ofuscación sin saber exactamente cómo las herramientas de AV hacen su huella digital.

Pero de todos modos, una técnica que he encontrado muy útil es observar la configuración del programa AV. A menudo, un usuario sin privilegios puede ver la configuración, aunque no puede modificar la configuración. En la configuración a menudo hay una serie de ubicaciones "excluidas". Por ejemplo, una empresa puede querer excluir ciertas subcarpetas de "Archivos de programa" de ser escaneadas porque "confía" en el ejecutable de esas carpetas.

Si encuentra una carpeta "confiable", simplemente descargue una versión 7zip / cifrada de mimikatz (o lo que quiera) en la carpeta confiable y descomprímala allí. Boom, estás dentro.

    
respondido por el hft 26.06.2018 - 21:55
fuente
0

Otra opción que tienes es usar metamorfismo y técnicas polimórficas. Esto le permitirá pasar algunos motores AV, dependiendo de su código y de lo que esté haciendo, pero seguro que será tedioso.

    
respondido por el camp0 26.06.2018 - 22:01
fuente

Lea otras preguntas en las etiquetas

¿Utilizando el certificado de firma de código PFX en una PC diferente? Comprobando los procesos en segundo plano instalados en mi teléfono