Auteur Sujet: (résolu)mon payload est détectable  (Lu 3519 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne cLicK

  • Membre Junior
  • *
  • Messages: 32
  • Notoriété : +0/-2
(résolu)mon payload est détectable
« le: 01 septembre 2016 à 17:13:28 »
Bonjour tout le monde.

J'ai créé un payload de type trojan, avec msfvenom, pour un test d'ingénierie sociale. Le seul hic, c'est qu'il est détectable par le bitdefender de windows 10. Pourtant, je l'ai shikata ga nayé dans touts les sens, avec des itérations de malade, des chaines d'encodages de malades aussi, et rien n'y fait, j suis détecté par toutes les machines windows 8 et 10.
Merci...

« Modifié: 01 septembre 2016 à 19:38:50 par cLicK »

Hors ligne WK

  • Contributeur de Kali-linux.fr
  • Membre régulier
  • *****
  • Messages: 188
  • Notoriété : +19/-1
Re : mon payload est détectable
« Réponse #1 le: 01 septembre 2016 à 17:26:59 »
il est détectable par le bitdefender de windows 10. Pourtant, je l'ai shikata ga nayé dans touts les sens, avec des itérations de malade, des chaines d'encodages de malades aussi, et rien n'y fait, j suis détecté par toutes les machines windows 8 et 10.
Merci...

- Veux-tu dire Windows Defender?

- faire des centaines d'itérations est inutiles. Suivant mes tests persos entre 2 et 10 c'est parfait.

- Faire des chaînes d'encodage n'est pas une bonne idée. Imaginons que tu encodes avec Shikata ga nai et l'encodage jump/call. (très intéressant à étudier, vive l'assembleur)
Tu donnes à l'antivirus le moyen de repérer ton trojan avec les traces de shikata et de jump/call, ce qui le rend plus vulnérable que si tu avais fait qu'avec shikata.
Encode ton trojan avec 4-5 encoder et tu verras que c'est pire que sans !

- Je te dirais bien d'essayer veil-evasion et/ou shellter mais ce n'est plus ce que c'était.

Soit c'est pour un test de SE et dans ce cas là désactive temporairement Windows Defender, soit il va falloir que tu t'intéresses un peu à la programmation. Et dieu sait que ce n'est (malheureusement) pas compliqué de faire un trojan FUD en quelques lignes de codes..
J'ai personnelement fait un article il y a un mois sur une des manières les plus faciles de faire un trojan FUD..

https://www.kali-linux.fr/forum/index.php/topic,2973.0.html

Hors ligne cLicK

  • Membre Junior
  • *
  • Messages: 32
  • Notoriété : +0/-2
Re : mon payload est détectable
« Réponse #2 le: 01 septembre 2016 à 19:37:55 »
admettons que j'écrive mon payload... un payload de base, le résulat sera le même. A ton avis, en partant d'un payload de base, tu ferais quoi comme rectif, pour être indétectable? En fait la question se pose mal... c'est quoi finalement un payload? C'est un programme... Ok? il a une fonction... Il enregistre, il envoie , il se connecte etc etc...La fonction de l'antivirus, justement, c'est de détecter que ton programme, enregistre envoie etc.Donc la nouvelle question est celle ci : Comment "écrire" d'un point de vue modale "enregistrer , envoyer etc etc", sans que l'antivirus, quand elle relit les lignes de codes ne le "re" marque? J'ai une idée. J te dirai quoi après. Merci.

Hors ligne WK

  • Contributeur de Kali-linux.fr
  • Membre régulier
  • *****
  • Messages: 188
  • Notoriété : +19/-1
Re : (résolu)mon payload est détectable
« Réponse #3 le: 01 septembre 2016 à 20:45:21 »
As-tu lu le lien que je t'ai envoyé?  ::)

Hors ligne cLicK

  • Membre Junior
  • *
  • Messages: 32
  • Notoriété : +0/-2
Re : (résolu)mon payload est détectable
« Réponse #4 le: 01 septembre 2016 à 21:56:28 »
oui, merci pour le lien. J vais tester ça ce soir. J te dirai quoi.
« Modifié: 01 septembre 2016 à 22:02:41 par cLicK »

Hors ligne HWW

  • Membre régulier
  • **
  • Messages: 113
  • Notoriété : +5/-0
Re : Re : (résolu)mon payload est détectable
« Réponse #5 le: 02 septembre 2016 à 09:40:19 »
oui, merci pour le lien. J vais tester ça ce soir. J te dirai quoi.
Toi t'es du nord je me trompe ?  ;D

Hors ligne cLicK

  • Membre Junior
  • *
  • Messages: 32
  • Notoriété : +0/-2
Re : (résolu)mon payload est détectable
« Réponse #6 le: 02 septembre 2016 à 12:21:51 »
et toi t'es à l'ouest, j me trompe :-d

Hors ligne HWW

  • Membre régulier
  • **
  • Messages: 113
  • Notoriété : +5/-0
Re : (résolu)mon payload est détectable
« Réponse #7 le: 02 septembre 2016 à 13:22:43 »
Dans le mille ! ;)

Hors ligne Fungraphic

  • Membre Junior
  • *
  • Messages: 36
  • Notoriété : +4/-0
Re : (résolu)mon payload est détectable
« Réponse #8 le: 04 février 2019 à 20:45:10 »
Bon je fais un déterrage de la lune  :P

Pour info si vous voulez faire des rat à 98% voir 100% FUD

un peu de lecture ici
https://connect.ed-diamond.com/MISC/MISC-081/Contournement-antiviral-avec-Metasploit-encrypter

Hors ligne Azzysisi

  • Membre Junior
  • *
  • Messages: 15
  • Notoriété : +0/-0
Re : Re : mon payload est détectable
« Réponse #9 le: 11 février 2019 à 19:19:11 »
admettons que j'écrive mon payload... un payload de base, le résulat sera le même. A ton avis, en partant d'un payload de base, tu ferais quoi comme rectif, pour être indétectable? En fait la question se pose mal... c'est quoi finalement un payload? C'est un programme... Ok? il a une fonction...  Il enregistre, il envoie , il se connecte etc etc...La fonction de l'antivirus, justement, c'est de détecter que ton programme, enregistre envoie etc.Donc la nouvelle question est celle ci : Comment "écrire" d'un point de vue modale "enregistrer , envoyer etc etc", sans que l'antivirus, quand elle relit les lignes de codes ne le "re" marque? J'ai une idée. J te dirai quoi après. Merci.
Soit c'est pour un test de SE et dans ce cas là désactive temporairement Windows Defender, soit il va falloir que tu t'intéresses un peu à la programmation. Et dieu sait que ce n'est (malheureusement) pas compliqué de faire un trojan FUD en quelques lignes de codes..
J'ai personnelement fait un article il y a un mois sur une des manières les plus faciles de faire un trojan FUD..
« Modifié: 25 mars 2019 à 00:25:46 par webmaster »