¿Cómo editar un código hexadecimal sin dañar el archivo [sin pasar por av]?

Question

¿Cómo editar un código hexadecimal sin dañar el archivo [sin pasar por av]?

#1 de ndrix (3 votos)

0

Hace poco comencé a estudiar sobre cómo omitir AV al encontrar una firma AV en "nc.exe (NetCat)" y cambiarla para ver cómo funciona. Ya he encontrado el lugar de la firma con el método de división, entonces debería abrir el nc.exe con un editor hexadecimal y cambiar el Sig. Pero , esto es lo que parece:

Enotromalware,encontréquelaFirmaestáenlosúltimos355bytesdelarchivo:

Y ambos archivos se corromperán al editarlos (agregar o eliminar bytes)

Pregunta: ¿Qué debo hacer para editar en estas situaciones? ¿Qué debo saber para una edición binaria exitosa en la omisión de av?

Si me equivoco, dime qué debo buscar.

malware antivirus reverse-engineering

pregunta Aiden Stewart 11.12.2017 - 13:53

fuente

1 respuesta

Lea otras preguntas en las etiquetas malware antivirus reverse-engineering

Forma adecuada de proteger un directorio de registros Compruebe si la contraseña para el documento cifrado de ms office es correcta

score 3 · Accepted Answer

Las firmas de AV generalmente se basan en un hash de un archivo en particular. Son productos conocidos o archivos mal conocidos. Si se trata de un archivo mal conocido, puede modificar algunos bytes aquí y allá (por ejemplo, la cadena "no se puede ejecutar en modo dos"), puede tener un binario que hace la misma funcionalidad, con un hash diferente.

Pero, la mayoría de los programas AV / Anti-Malware modernos miran algunas cosas; Esto podría incluir firma de código, comportamiento, etc.

¿Qué debo saber para una edición binaria exitosa en la omisión de av?

Esto es exactamente lo que la firma de código intenta resolver. Si edita el programa, la firma ya no coincidirá y no se confiará "a ciegas".

La omisión de AV es un tema grande que está bien investigado con técnicas a menudo perspicaces. Puede tener un "binario no confiable" que haga las cosas legítimas el tiempo suficiente, para que se confíe. O bien, tenga un binario legítimo (por ejemplo, algo que se incluye con el sistema operativo, etc.) e intente abusar de eso para realizar algo que no está destinado a hacer.