Обходим Chrome Alert и Windows Defender при скачивании .exe

Brother

Professional
Messages
2,567
Reputation
3
Reaction score
327
Points
83
482d7c74f9d8324fad19a.png


Опять не контора под PLAID(
Салам всем. На связи МК. Как мы все знаем, последние обновления Windows Defender начали блокировать обычные .sfx архивы, созданные в последней версии WinRAR. Также, Chrome блокирует файл при скачивании, ставя красную метку на файл с кнопкой "Discard". В этой статье я покажу, как обойти это без особых танцев с бубном. Тестирование будет происходить на официальной Windows 11 с установленным Windows Defender и последней версией Chrome, скачанной с официальной страницы Google.

И так, создаем архив sfx с обычным вызовом cmd.exe

e407b5e5edf81bff76baa.png


У нас получается файл ser.exe (наш созданный sfx), при запуске которого открывается cmd.exe. Заливаем этот файл на хостинг или на сайт с которого он будет качаться. У меня есть свой сайт и я его залью туда.

Залили? Проверяем. Вставляем прямую ссылку на файл в браузер и видим

90ea6248ea0c31e5475ac.png


А Windows Defender, если он включен, тут же удаляет файл без возможности запуска.

И так, если нет питона, устанавливаем. Я поставил версию 3.10 с официального сайта.

Качаем скрипт: copysert.py

Кидаем его в папку C:\zxc\copysert.py

Кидаем в папку zxc, рядом со скриптом любой exe с которого хотим скопировать сертификат. Я буду использовать драйвера от алчного, проприетарного ПО, Nvidia (i.exe).

Выглядеть это должно так

95d875bbc0cecdd28bc14.png


У файла i.exe обязательно должна быть цифровая подпись. Глянуть можно тут

49d9a1f4c6f0930497911.png


Запускаем скрипт copysert.py с такими параметрами и при удачном выполнении увидим следующее

5.png.20892c20384fec16018b5e46b1dac971.png


copysert.py - скрипт

i.exe - файл откуда тащим сертификат.

ser.exe - исходный файл на который копируем сертификат.

q.exe - файл, который получаем на выходе. он будет иметь сертификат такой как у i.exe

Проверяем. Переименовываем файл q.exe в 2ser.exe, заливаем на наш хостинг\сайт и пробуем скачать. Видим

6.png.959cdaf98bc7cf5a386d468aeff42e61.png


Файл успешно скачался без каких либо алертов и блокировок. Windows Defender в этот момент полностью включен и обновлен.

Пробуем запустить и видим

7.png.78fc272da4dc9408fadf8d83af0dc73f.png


Все запустилось без каких либо алертов и блокировок.

Таким оброзом, мимикрируя под разный легитимный софт, можно легко обходить проверки автоматического анализа файлов.

Скрипт - https://anonfiles.com/H3tcy2Tcy3/zxc_zip
Параметры запуска: python ser.py -i i.exe -t t.exe -o o.exe
 
Top