danaforevr
питонист
danaforevr
питонист
Всем привет!
Сегодня я расскажу, как подписать сертификат нашего вируса, тем самым спрятав его от антивирусников.
Тема не моя, но я сделал для нее рерайт (переписал полностью).
Приступим!
Использовать мы будем программу SigThief. Она разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет фальшивой (созданной SigThief), в этом вся суть скрытия файла от антивируса.
Да простят меня любители Окон, SigThief есть только на Linux;)
Приступим к установке SigThief.
Делаем гит клон
Дальше командой мы открываем папку с программой
Запускаем программу и смотрим хелп.
Теперь смотрим есть ли подпись у нашего вируса.
Выдает,что подпись отсутствует.
Теперь проверяем файл откуда будем тырить подпись.
Подписанный exe можно найти на сайте Microsoft - ТЫК
Выдает,что программа подписана.
Теперь мы копируем подпись с чистого exe на наш вирус.
Все готово,наш зловред подписан.
Идем сканировать на палевность файла антивирусами.
Сканировть будем конечно же черезvirustotal nodistribute
Вот результаты до и после (еще не подписанный файл при первом скане так назывался,а дальше для удобности я его переименовал)
В итого мы потеряли только 3 антивирусника, это произошло потому-что я для подписи использовал прям очень баянный,давно лежащий в паблике вирус.
Спасибо, что прочитали данную тему.Я долго ее писал,это мой первый не копипаст:-)
P.s
Даже на скринах мой ник:lol:
Сегодня я расскажу, как подписать сертификат нашего вируса, тем самым спрятав его от антивирусников.
Тема не моя, но я сделал для нее рерайт (переписал полностью).
Приступим!
Использовать мы будем программу SigThief. Она разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет фальшивой (созданной SigThief), в этом вся суть скрытия файла от антивируса.
Да простят меня любители Окон, SigThief есть только на Linux;)
Приступим к установке SigThief.
Делаем гит клон
Код:
git clone https://github.com/secretsquirrel/SigThiefДальше командой мы открываем папку с программой
Код:
Cd SigTgiefЗапускаем программу и смотрим хелп.
Код:
python sigthief.py –helpТеперь смотрим есть ли подпись у нашего вируса.
Код:
sigthief.py –i 'virus.exe' -c
python sigthief.py -ссылка на файл '/user/desktop/ссылка на файл.exe' -проверить на подписьВыдает,что подпись отсутствует.
Теперь проверяем файл откуда будем тырить подпись.
Подписанный exe можно найти на сайте Microsoft - ТЫК
Код:
python sigthief.py –i 'virus.exe' -c
python sigthief.py -ссылка на файл '/user/desktop/ссылка на файл.exe' -проверить на подписьВыдает,что программа подписана.
Теперь мы копируем подпись с чистого exe на наш вирус.
Код:
python sigthief.py –i 'FireFox.exe' -t 'virus.exe' -o '/tmp/done.exe'
python sigthief.py -ссылка на чистый файл '/user/desktop/ссылка на чистый файл.exe' -ссылка на наш вирус '/user/desktop/ссылка на вирус.exe' -место сохранение готового файла '/tmp/готовый файл.exe'
Сохранять нужно только в темп(/tmp)
ОЧЕНЬ ВАЖНО
Все готово,наш зловред подписан.
Идем сканировать на палевность файла антивирусами.
Сканировть будем конечно же через
Вот результаты до и после (еще не подписанный файл при первом скане так назывался,а дальше для удобности я его переименовал)
В итого мы потеряли только 3 антивирусника, это произошло потому-что я для подписи использовал прям очень баянный,давно лежащий в паблике вирус.
Спасибо, что прочитали данную тему.Я долго ее писал,это мой первый не копипаст:-)
P.s
Даже на скринах мой ник:lol:
