Опять не контора под PLAID(
Салам всем. На связи МК. Как мы все знаем, последние обновления Windows Defender начали блокировать обычные .sfx архивы, созданные в последней версии WinRAR. Также, Chrome блокирует файл при скачивании, ставя красную метку на файл с кнопкой "Discard". В этой статье я покажу, как обойти это без особых танцев с бубном. Тестирование будет происходить на официальной Windows 11 с установленным Windows Defender и последней версией Chrome, скачанной с официальной страницы Google.
И так, создаем архив sfx с обычным вызовом cmd.exe
У нас получается файл ser.exe (наш созданный sfx), при запуске которого открывается cmd.exe. Заливаем этот файл на хостинг или на сайт с которого он будет качаться. У меня есть свой сайт и я его залью туда.
Залили? Проверяем. Вставляем прямую ссылку на файл в браузер и видим
А Windows Defender, если он включен, тут же удаляет файл без возможности запуска.
И так, если нет питона, устанавливаем. Я поставил версию 3.10 с официального сайта.
Качаем скрипт: copysert.py
Кидаем его в папку C:\zxc\copysert.py
Кидаем в папку zxc, рядом со скриптом любой exe с которого хотим скопировать сертификат. Я буду использовать драйвера от алчного, проприетарного ПО, Nvidia (i.exe).
Выглядеть это должно так
У файла i.exe обязательно должна быть цифровая подпись. Глянуть можно тут
Запускаем скрипт copysert.py с такими параметрами и при удачном выполнении увидим следующее
copysert.py - скрипт
i.exe - файл откуда тащим сертификат.
ser.exe - исходный файл на который копируем сертификат.
q.exe - файл, который получаем на выходе. он будет иметь сертификат такой как у i.exe
Проверяем. Переименовываем файл q.exe в 2ser.exe, заливаем на наш хостинг\сайт и пробуем скачать. Видим
Файл успешно скачался без каких либо алертов и блокировок. Windows Defender в этот момент полностью включен и обновлен.
Пробуем запустить и видим
Все запустилось без каких либо алертов и блокировок.
Таким оброзом, мимикрируя под разный легитимный софт, можно легко обходить проверки автоматического анализа файлов.
Скрипт - https://anonfiles.com/H3tcy2Tcy3/zxc_zip
Параметры запуска: python ser.py -i i.exe -t t.exe -o o.exe
