Обходим Chrome Alert и Windows Defender при скачивании .exe

Brother

Brother

Professional
Jul 27, 2011
2,567
334
83
482d7c74f9d8324fad19a.png


Опять не контора под PLAID(
Салам всем. На связи МК. Как мы все знаем, последние обновления Windows Defender начали блокировать обычные .sfx архивы, созданные в последней версии WinRAR. Также, Chrome блокирует файл при скачивании, ставя красную метку на файл с кнопкой "Discard". В этой статье я покажу, как обойти это без особых танцев с бубном. Тестирование будет происходить на официальной Windows 11 с установленным Windows Defender и последней версией Chrome, скачанной с официальной страницы Google.

И так, создаем архив sfx с обычным вызовом cmd.exe

e407b5e5edf81bff76baa.png


У нас получается файл ser.exe (наш созданный sfx), при запуске которого открывается cmd.exe. Заливаем этот файл на хостинг или на сайт с которого он будет качаться. У меня есть свой сайт и я его залью туда.

Залили? Проверяем. Вставляем прямую ссылку на файл в браузер и видим

90ea6248ea0c31e5475ac.png


А Windows Defender, если он включен, тут же удаляет файл без возможности запуска.

И так, если нет питона, устанавливаем. Я поставил версию 3.10 с официального сайта.

Качаем скрипт: copysert.py

Кидаем его в папку C:\zxc\copysert.py

Кидаем в папку zxc, рядом со скриптом любой exe с которого хотим скопировать сертификат. Я буду использовать драйвера от алчного, проприетарного ПО, Nvidia (i.exe).

Выглядеть это должно так

95d875bbc0cecdd28bc14.png


У файла i.exe обязательно должна быть цифровая подпись. Глянуть можно тут

49d9a1f4c6f0930497911.png


Запускаем скрипт copysert.py с такими параметрами и при удачном выполнении увидим следующее

5.png.20892c20384fec16018b5e46b1dac971.png


copysert.py - скрипт

i.exe - файл откуда тащим сертификат.

ser.exe - исходный файл на который копируем сертификат.

q.exe - файл, который получаем на выходе. он будет иметь сертификат такой как у i.exe

Проверяем. Переименовываем файл q.exe в 2ser.exe, заливаем на наш хостинг\сайт и пробуем скачать. Видим

6.png.959cdaf98bc7cf5a386d468aeff42e61.png


Файл успешно скачался без каких либо алертов и блокировок. Windows Defender в этот момент полностью включен и обновлен.

Пробуем запустить и видим

7.png.78fc272da4dc9408fadf8d83af0dc73f.png


Все запустилось без каких либо алертов и блокировок.

Таким оброзом, мимикрируя под разный легитимный софт, можно легко обходить проверки автоматического анализа файлов.

Скрипт - https://anonfiles.com/H3tcy2Tcy3/zxc_zip
Параметры запуска: python ser.py -i i.exe -t t.exe -o o.exe
 
You must log in or register to reply here.

Similar threads

Carding
Обходим 115-ФЗ в «Тинькофф» (14.07.22)
Replies
0
Views
493
Банки и денежные переводы
Carding
Carding
Воин Добра и Света
Пишем свой стиллер + обходим анти-вирусы
Replies
0
Views
671
Хакинг & Программирование
Воин Добра и Света
Воин Добра и Света
Carder
Обходим авторизацию на общественном Wi-Fi
Replies
0
Views
190
Безопасность в реале
Carder
Carder
Forum Library
FUCK 2FA! Обходим двухфакторную аутентификацию с помощью Modlishka
Replies
0
Views
283
Статьи
Forum Library
Forum Library
JakBack
НЕОБХОДИМ вбивала зп от 300$ за работу.
Replies
18
Views
1K
Биржа труда
Ori$k
O
Top Bottom