Runion
You are using an out of date browser. It may not display this or other websites correctly.
You should upgrade or use an alternative browser.
You should upgrade or use an alternative browser.
Бляцкий Windows defender
- Thread starter RUDGE
- Start date
KernelMode
Midle Weight
- Депозит
- $0
KernelMode сказал(а):
это не на днях, это уже достаточно давно такое поведение
Сами генерики - да, но раньше вроде все тип топ было, по крайней мере у меня. Достаточно было проект новый создать, пару функций изменить и все. Файл очень долго ходил и был результат.
Сейчас же какая то лютая дрочь, только он один и душит. Пишу на .NET к слову.
KernelMode
Midle Weight
- Депозит
- $0
У меня чутка по другому
Скрытый контент для пользователей: KernelMode.
В нативном лоадере не особо много опыта у меня, как то использовал его, но пришел к тому что больше детектов от него сыпется, чаще файл на аверских тачках дрочится и тд и тп. Ну или скорее всего у меня руки из жепы чтобы нативный код писать)
Скрытый контент для пользователей: KernelMode.
В нативном лоадере не особо много опыта у меня, как то использовал его, но пришел к тому что больше детектов от него сыпется, чаще файл на аверских тачках дрочится и тд и тп. Ну или скорее всего у меня руки из жепы чтобы нативный код писать)
gofender сказал(а):
Такая же фигня, но пишу на golang. Пробовал старые версии компиляторов, но через пару дней всё тоже самое. Причем даже на белый софт эти же генереки, а это значит, что дело в runtime.
Ага, таки не у меня одного жепа сгорает с этого)coree сказал(а):
Была такая же хрень с пакером, давал вакатак, пофиксил расстановкой слипов в коде.
Аналогично, в коде просто функция либы сторонней вызвается, а воя сколько - вакатак/хуяк/агент тесла.
Не, нифига, клауд ебет таки. Походу придется в тупую долбить все методы/дробить код на функции и тестить/тестить
Смотрите что я понял за свое время и как сам тещу.
Включаю все функции ВД кроме авто-отправки семплов на их сервера. Открываю браузер качаю файл ехе по прямой ссылке и смотрю если же файл после скачки автоматом убивает ВАТАКАТ то это проблема в сигнатурке, а если все скачали и он висит там типо почти загружен секунд 20-30 то он этот файл в сигнатурке чистым посчитал и запускает уже в своей виртуальной среде которую можно посмотреть по нагрузке процессора почти в сотку ( если слабый дедик)
Включаю все функции ВД кроме авто-отправки семплов на их сервера. Открываю браузер качаю файл ехе по прямой ссылке и смотрю если же файл после скачки автоматом убивает ВАТАКАТ то это проблема в сигнатурке, а если все скачали и он висит там типо почти загружен секунд 20-30 то он этот файл в сигнатурке чистым посчитал и запускает уже в своей виртуальной среде которую можно посмотреть по нагрузке процессора почти в сотку ( если слабый дедик)
Russian_Coder
Midle Weight
- Депозит
- $0
Сегодня пришел и ко мне в гости Wacatac/Wacapew/Sabsik -> решил генерацией треша. Резы проверял на вирустотале! Надеюсь поможет!
upd. вышло все не так, треш ток замедлил ВД на некоторое время
Последнее редактирование: Четверг в 11:43
upd. вышло все не так, треш ток замедлил ВД на некоторое время
Последнее редактирование: Четверг в 11:43
salsa20 сказал(а):
upd. вышло все не так, треш ток замедлил ВД на некоторое время
Как решил по итогу?
Вот вчера изучал как раз https://xss.is/threads/110871/
Думал памп не нужен....но после того как запампил до 200мб дропнутый засраный в хлам файл он видать слетал в облако и через пару минут задетектился. Не смотря на то что в исключениях ДФ лежит
Запампил до 700мб файл лежит воркает при чем грязный как елка и все ок.
Думал памп не нужен....но после того как запампил до 200мб дропнутый засраный в хлам файл он видать слетал в облако и через пару минут задетектился. Не смотря на то что в исключениях ДФ лежит
Запампил до 700мб файл лежит воркает при чем грязный как елка и все ок.
proxy сказал(а):
Как решил по итогу?
Просто стаб сменил на новый и не детектит с вм, если залить на вирустотал то может наверное детект повесить.
Wacatac может возникнуть буквально на любом этапе заражения системы. Wacatac может ставиться на архив, но при этом файл, находящийся в архиве, не будет детектить. И наоборот. Архив - чист, файл при распаковке - детектится. Причины Wacatac могут быть как от «грязного» домена, так и до запуска вашего файла в эмуляторе. По статистике я наблюдал детекты Wacatac/Sabsik при установке иконок, ресурсов, а также при использовании обфускации кода на базе LLVM.
Также мною лично было замечено то, что на разных виртуальных машинах Wacatac возникал через раз, что тоже немного странно. Старайтесь смотреть в первую очередь на свой код: всякие криптографические функции, строки, импорт, постарайтесь не ходить в открытую по PEB’у (разбавляйте поиск адреса мусором) и т.д
Если используете паблик обфускаторы - то может в этом трабла.
Проверьте уровень энтропии по секциям, это детект который буквально может распространяться на что угодно.
Если все выше предложенное не помогло - проверяйте ресурсы.
Добавляйте защиту от запуска в облаке/эмуляторе.
Нигде нет описания этого детекта, и название у него дебильное, так что тут только тесты, тесты и еще раз тесты
Также мною лично было замечено то, что на разных виртуальных машинах Wacatac возникал через раз, что тоже немного странно. Старайтесь смотреть в первую очередь на свой код: всякие криптографические функции, строки, импорт, постарайтесь не ходить в открытую по PEB’у (разбавляйте поиск адреса мусором) и т.д
Если используете паблик обфускаторы - то может в этом трабла.
Проверьте уровень энтропии по секциям, это детект который буквально может распространяться на что угодно.
Если все выше предложенное не помогло - проверяйте ресурсы.
Добавляйте защиту от запуска в облаке/эмуляторе.
Нигде нет описания этого детекта, и название у него дебильное, так что тут только тесты, тесты и еще раз тесты
Kernel32dll
Midle Weight
- Депозит
- $0
Kernel32dll сказал(а):
Wacatac может возникнуть буквально на любом этапе заражения системы. Wacatac может ставиться на архив, но при этом файл, находящийся в архиве, не будет детектить. И наоборот. Архив - чист, файл при распаковке - детектится. Причины Wacatac могут быть как от «грязного» домена, так и до запуска вашего файла в эмуляторе. По статистике я наблюдал детекты Wacatac/Sabsik при установке иконок, ресурсов, а также при использовании обфускации кода на базе LLVM.
Также мною лично было замечено то, что на разных виртуальных машинах Wacatac возникал через раз, что тоже немного странно. Старайтесь смотреть в первую очередь на свой код: всякие криптографические функции, строки, импорт, постарайтесь не ходить в открытую по PEB’у (разбавляйте поиск адреса мусором) и т.д
Если используете паблик обфускаторы - то может в этом трабла.
Проверьте уровень энтропии по секциям, это детект который буквально может распространяться на что угодно.
Если все выше предложенное не помогло - проверяйте ресурсы.
Добавляйте защиту от запуска в облаке/эмуляторе.
Нигде нет описания этого детекта, и название у него дебильное, так что тут только тесты, тесты и еще раз тесты
Нажмите, чтобы раскрыть...
Еще утечки памяти, переполнение стека или другие логические ошибки это триггер для деффа. По пути \AppData\Local\CrashDumps\ можно посмотреть дампы памяти с крашами. Или когда используешь шеллкод для тестов по типу этого. При инжекте в удаленный процесс и завршении его он вызывает краш.
Спойлер: шеллкод
Так что не забывайте про CloseHandle, HeapFree, VirtualFee, InternetCloseHandle и тд
secidiot сказал(а):
Еще утечки памяти, переполнение стека или другие логические ошибки это триггер для деффа. По пути \AppData\Local\CrashDumps\ можно посмотреть дампы памяти с крашами. Или когда используешь шеллкод для тестов по типу этого. При инжекте в удаленный процесс и завршении его он вызывает краш.
Спойлер: шеллкод
Так что не забывайте про CloseHandle, HeapFree, VirtualFee, InternetCloseHandle и тд
та не, ты это уже преувеличил