Обфускация VB

[k1ddddos]

Всем привет! Подскажите пожалуйста как обфусцировать файл ворд с вредоносным макросом? Макрос написан на Visual Basic в ворде. Есть утилиты какие то? Мне просто нужно обойти виндовс дефендер

 

[Alexey18]

Alexey18 сказал(а):
если ты про макросы, но в ласт обновлениях врятле выйдет. Я тестировался на виртуалке. Могу сказать одно: детектило обычный MsgBox.

емае, а обфускация тоже не поможет?

 

[k1ddddos]

Alexey18 сказал(а):
если ты про макросы, но в ласт обновлениях врятле выйдет. Я тестировался на виртуалке. Могу сказать одно: детектило обычный MsgBox.

Тогда буду делать exe

 

[k1ddddos]

Alexey18 сказал(а):
Могу сказать одно: детектило обычный MsgBox.

Что, неужели все макросы детектятся?
Ну тогда подпись можно попробовать.

 

[Quake3]

Quake3 сказал(а):
Что, неужели все макросы детектятся?
Ну тогда подпись можно попробовать.

Да сам код детектится, а так для антивирусов это обычный файл щас ЭЦП + обфускацию буду пробовать

 

[k1ddddos]

Quake3 сказал(а):
Что, неужели все макросы детектятся?
Ну тогда подпись можно попробовать.

Можно пробросить через hex редактор и выяснить на что он ругается

 

[k1ddddos]

k1ddddos сказал(а):
Можно пробросить через hex редактор и выяснить на что он ругается

мелко мягкие могут просто макрос без подписи сделать потенциально опасным, им то пофиг по факту че потом делать простым смертным

 

[ckat_soft]

Создайте подпись свою и после через signtool подпишите эксешник. Как щас не знаю, но генки не вызывало год назад.

 

[Alexey18]

Alexey18 сказал(а):
Создайте подпись свою и после через signtool подпишите эксешник. Как щас не знаю, но генки не вызывало год назад.

Подписал вызывает виндовс дефендер снова

 

[k1ddddos]

Данный способ действенный? Макросы ведь отключены по умолчанию и в либре и в Майкрософт офис.

 

[Burnbrighter]

Если я не ошибаюсь, с недавнего времени мелкомягкие очень щепетильно к макросам относятся. Можно попробовать конечно какими нибудь OV/EV сертами подписать (я чекал в паблике, точно видел один не загашенный серт). Да и вообще, я думаю что современный дефендер отловит даже обфусцированный VB-макрос

 

[coree]

https://github.com/Accenture/Codecepticon/tree/main - недавно смотрел презентацию с какой-то конфы ибэшной об этой штуке. Никаких рокет-саенсов там нет, все довольно тупенько, но, наверное, может чем-то помочь, или хотя бы влиться в тему обфускации скриптов.
Последнее редактирование: 28.07.2023

 

[DildoFagins]

меньше ascii текста и ищи свой метод инжекта. извини, но createobject("wscript.shell").run "cmd /c " уже не подойдёт))
щас хорошо ml срабатывает.
самый дельный совет в этом деле: купи книжку по винапи и почитай, как работает. А потом иди смотреть малварьбазар, чтобы спиздить логику обфускации))

 

[diletant]

diletant сказал(а):
меньше ascii текста и ищи свой метод инжекта. извини, но createobject("wscript.shell").run "cmd /c " уже не подойдёт))
щас хорошо ml срабатывает.
самый дельный совет в этом деле: купи книжку по винапи и почитай, как работает. А потом иди смотреть малварьбазар, чтобы спиздить логику обфускации))

спасибо