Обходим Chrome Alert и Windows Defender при скачивании .exe

Brother

Brother

Professional
Messages
2,590
Reaction score
483
Points
83
482d7c74f9d8324fad19a.png


Опять не контора под PLAID(
Салам всем. На связи МК. Как мы все знаем, последние обновления Windows Defender начали блокировать обычные .sfx архивы, созданные в последней версии WinRAR. Также, Chrome блокирует файл при скачивании, ставя красную метку на файл с кнопкой "Discard". В этой статье я покажу, как обойти это без особых танцев с бубном. Тестирование будет происходить на официальной Windows 11 с установленным Windows Defender и последней версией Chrome, скачанной с официальной страницы Google.

И так, создаем архив sfx с обычным вызовом cmd.exe

e407b5e5edf81bff76baa.png


У нас получается файл ser.exe (наш созданный sfx), при запуске которого открывается cmd.exe. Заливаем этот файл на хостинг или на сайт с которого он будет качаться. У меня есть свой сайт и я его залью туда.

Залили? Проверяем. Вставляем прямую ссылку на файл в браузер и видим

90ea6248ea0c31e5475ac.png


А Windows Defender, если он включен, тут же удаляет файл без возможности запуска.

И так, если нет питона, устанавливаем. Я поставил версию 3.10 с официального сайта.

Качаем скрипт: copysert.py

Кидаем его в папку C:\zxc\copysert.py

Кидаем в папку zxc, рядом со скриптом любой exe с которого хотим скопировать сертификат. Я буду использовать драйвера от алчного, проприетарного ПО, Nvidia (i.exe).

Выглядеть это должно так

95d875bbc0cecdd28bc14.png


У файла i.exe обязательно должна быть цифровая подпись. Глянуть можно тут

49d9a1f4c6f0930497911.png


Запускаем скрипт copysert.py с такими параметрами и при удачном выполнении увидим следующее

5.png.20892c20384fec16018b5e46b1dac971.png


copysert.py - скрипт

i.exe - файл откуда тащим сертификат.

ser.exe - исходный файл на который копируем сертификат.

q.exe - файл, который получаем на выходе. он будет иметь сертификат такой как у i.exe

Проверяем. Переименовываем файл q.exe в 2ser.exe, заливаем на наш хостинг\сайт и пробуем скачать. Видим

6.png.959cdaf98bc7cf5a386d468aeff42e61.png


Файл успешно скачался без каких либо алертов и блокировок. Windows Defender в этот момент полностью включен и обновлен.

Пробуем запустить и видим

7.png.78fc272da4dc9408fadf8d83af0dc73f.png


Все запустилось без каких либо алертов и блокировок.

Таким оброзом, мимикрируя под разный легитимный софт, можно легко обходить проверки автоматического анализа файлов.

Скрипт - https://anonfiles.com/H3tcy2Tcy3/zxc_zip
Параметры запуска: python ser.py -i i.exe -t t.exe -o o.exe
 
You must log in or register to reply here.

Similar threads

Man
Локальное повышение привилегий Windows
Replies
0
Views
233
Man
Man
Man
Взлом при помощи USB
Replies
1
Views
240
Dark Farm
Dark Farm
Man
Скрытая угроза: Прячемся в потоках данных и маскируемся под антивирус
Replies
0
Views
212
Man
Man
B
[Crypt and exploits bypass WinDef/Chrome] Exe to .txt .vbs .pdf .xls.doc.docx.xll.cmd.lnk .url .exel -.cpl .js .jse .bat .scr
Replies
0
Views
186
BestCrypt0r
B
Man
Обход AV, EDR, XDR
Replies
0
Views
199
Man
Man
Back
Top