Бесплатно Прячем вирус от Антивирусов(Подпись приложения)

Тема в разделе "Уязвимости и взлом", создана пользователем danaforevr, 9 фев 2018.

  1. danaforevr

    danaforevr

    Сообщения:
    112
    Баллы:
    16
    Всем привет!
    Сегодня я расскажу, как подписать сертификат нашего вируса, тем самым спрятав его от антивирусников.
    Тема не моя, но я сделал для нее рерайт (переписал полностью).
    Приступим!
    Использовать мы будем программу SigThief. Она разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет фальшивой (созданной SigThief), в этом вся суть скрытия файла от антивируса.
    Да простят меня любители Окон, SigThief есть только на Linux

    Приступим к установке SigThief.
    Делаем гит клон

    Код:
    git clone https://github.com/secretsquirrel/SigThief
    Дальше командой мы открываем папку с программой

    Код:
    Cd SigTgief

    Запускаем программу и смотрим хелп.
    Код:

    python sigthief.py –help


    Теперь смотрим есть ли подпись у нашего вируса.

    Код:

    sigthief.py –i 'virus.exe' -c
    python sigthief.py -ссылка на файл '/user/desktop/ссылка на файл.exe' -проверить на подпись

    Выдает,что подпись отсутствует.
    Теперь проверяем файл откуда будем тырить подпись.
    Подписанный exe можно найти на сайте Microsoft - http://docs.microsoft.com/en-us/sysinternals/downloads/
    Код:

    python sigthief.py –i 'virus.exe' -c
    python sigthief.py -ссылка на файл '/user/desktop/ссылка на файл.exe' -проверить на подпись

    Выдает,что программа подписана.
    Теперь мы копируем подпись с чистого exe на наш вирус.
    Код:

    python sigthief.py –i 'FireFox.exe' -t 'virus.exe' -o '/tmp/done.exe'
    python sigthief.py -ссылка на чистый файл '/user/desktop/ссылка на чистый файл.exe' -ссылка на наш вирус '/user/desktop/ссылка на вирус.exe' -место сохранение готового файла '/tmp/готовый файл.exe'
    Сохранять нужно только в темп(/tmp)


    Все готово,наш зловред подписан.
    Идем сканировать на палевность файла антивирусами.
    Сканировть будем конечно же через virustotal nodistribute
    Вот результаты http://nodistribute.com/result/wbsouq4C0XkH2tTg1rzMvp3xUV и http://nodistribute.com/result/lZ2yADz8VcYGXkf6hQLor7J0CusRv (еще не подписанный файл при первом скане так назывался,а дальше для удобности я его переименовал)
    В итого мы потеряли только 3 антивирусника, это произошло потому-что я для подписи использовал прям очень баянный,давно лежащий в паблике вирус.
    Спасибо, что прочитали данную тему.Я долго ее писал,это мой первый не копипаст
    P.s
    Даже на скринах мой ник
  2. ☠xrahitel☠

    ☠xrahitel☠

    Сообщения:
    61
    Баллы:
    6
  3. Raskolnikov

    Raskolnikov

    Сообщения:
    285
    Баллы:
    16
    Только вот при запуске, ав спалит твой файл

Поделиться этой страницей

Top