Обход ебучего Windows Defender или подделка подписи.

[Bonifacia]

Так друзья, сейчас расскажу как как можно обходить подобные сообщения при запуска вашего вируса\иного файла.

Обходится это путем подмены лицензионной подписи , и тут сразу вопросы:
Где взять эту подпись чтобы подменить? - Подпись можно будет взять с любого приложения, как? раскажу.

Но ведь эта подпись паленая\не дейсвительная - а нам и не нужно чтоб она была действительная , тк как 99% антивирей и сам дефендер , проверяют её наличие , а не подлинность.
И так начнем.
Нам понадобится:
1.Питон последней версии (

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

)
2.Сам инструмент (

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

)
3.cmd.exe ( думаю все знают где найти её )
=====================================
Приступим :
Запускаем cmd.exe ( от админа )
- Далее инфа для тех у кого нету PowerShell
Прописываем путь где у вас лежит файл sigthief.py
Далее пишем следующее
sigthief.py -t "файл к которому нужна подпись" (без кавычек) -s "указываем файл подпси" (без кавычек)
Далее в папке с файлов , появляется файл "название.exe_sig" стираем _sig и юзаем ваш файл.

-Инфа для тех у кого PowerShell или первый способ не сработал.
Запускаем cmd.exe
Прописываем путь где у вас лежит файл sigthief.py
Далее прописываем PowerShell
Пишем: python sigthief.py -t "файл к которому нужна подпись" (без кавычек) -s "указываем файл подпси" (без кавычек)
Далее в папке с файлов , появляется файл "название.exe_sig" стираем _sig и юзаем ваш файл.

====================

- Готово , мы разобрались как подделывать подпись, но где же взять эту подпись??
Заранее выбираем любое приложение с подписью , я взал дефолтный скайп.
Открываем cmd.exe
Прописываем путь где у вас лежит файл sigthief.py
Предварительно закидываем файл у которого будем воровать в папку со скриптом ( sigthief.py )

Прописываем в cmd следующее
sigthief.py -i "путь к файлу у которго нужно спиздить" ( без кавычек )

Для PowerShell
PowerShell
python sigthief -i "путь к файлу у которго нужно спиздить" ( без кавычек )

После этого в папке появится файл "название_sig" это и есть наша подпись.

ИНТЕРЕСНЫЕ ФАКТЫ:
Данная процедура может убрать несколько детектов на вашем софте не ломая его.
Раньше данная тема помогла против детекта ESETNOD32 сейчас проде нет , но проверить стоит.

 

[PANDORA]

статья нагло спижжена без указания автора и даже без картинок

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

 

[Lut]

статья нагло спижжена без указания автора и даже без картинок

У него все они спизжены. Очередной малолетний копипастер, решивший себя тут выдать за труЪ хацкера.

 

[Bonifacia]

У него все они спизжены. Очередной малолетний копипастер, решивший себя тут выдать за труЪ хацкера.

Мать твоя копипаст. Половину статей пишу я. Если об этом обходе на руторе не был ни одной темы, как мне нужно было написать, через крипту ? Если бы, моими словами было это описано, ты бы так-же написал.

 

[Lut]

Мать твоя копипаст. Половину статей пишу я. Если об этом обходе на руторе не был ни одной темы, как мне нужно было написать, через крипту ? Если бы, моими словами было это описано, ты бы так-же написал.

Не пизди маллолетка ссаная. И за мать, если бы пизданул мне это в реале, то в ебальник бы с ноги получил. Я сейчас тебя как вшивого котёнка начну ебальником в твоё же говно тыкать. Вчера я тебе в комменте указал, почему ты не написал ссылку на источник откуда спиздил, сегодня тебя ебальником твоим прыщавым ткнул ВарТех. И что ты за бед выше высрал, я ничего не понял из твоего бессвязного бреда.

 

[Bonifacia]

Не пизди маллолетка ссаная. И за мать, если бы пизданул мне это в реале, то в ебальник бы с ноги получил. Я сейчас тебя как вшивого котёнка начну ебальником в твоё же говно тыкать. Вчера я тебе в комменте указал, почему ты не написал ссылку на источник откуда спиздил, сегодня тебя ебальником твоим прыщавым ткнул ВарТех. И что ты за бед выше высрал, я ничего не понял из твоего бессвязного бреда.

Тоже самое хочу и тебе сказать. Мой милый гопник.
Что за вброс хуйни ты в тему сделал ? Для чего это, кому-то стало лучше ? Да, я подтвердил 1/2 тем копипаст, я сам их дополняю. Я не могу ничего нового рассказать в этих темах, которые уже были где либо.
Ссылки там были добавлены

 

[Lut]

Ссылки там были добавлены

Были добавлены после того, как тебя два раза ебальником ткнули?

 

[Bonifacia]

Были добавлены после того, как тебя два раза ебальником ткнули?

Что ты цепляешься за кусочки ? Я на авторство не претендую. Меня никто не тыкал, я выложил статью, и тем времен искал софт, чтобы блять таким гопничкам как ты на троянчики не наткнуться.

 

[Emika]

Что ты цепляешься за кусочки ? Я на авторство не претендую. Меня никто не тыкал, я выложил статью, и тем времен искал софт, чтобы блять таким гопничкам как ты на троянчики не наткнуться.

Укажи автора в источнике под спойлером, и я потру весь этот флуд.

 

[Cyber_Security]

есть описание и видео урок как отключить win defender. + Сам софт. Могу скинуть.

 

[Xander]

Вот тут есть описание и видео урок.

Уважаемые пользователи ссылки на сторонние ресуры скидывайте в ЛС, из темы подобное будет удаляться.

 

[Cyber_Security]

А вот за ссылки спасибо. Не охота там регаться

 

[Balthazar214]

+Благадарачка

 

[Liberty_Manager]

Работает?

 

[0x00]

Но ведь эта подпись паленая\не дейсвительная - а нам и не нужно чтоб она была действительная , тк как 99% антивирей и сам дефендер , проверяют её наличие , а не подлинность.

Даже тогда до 99% не доходило, f-secure жрал такие exe просто не давая из запустить с пометкой "Неизвестный файл/Редко встречающийся итд" ( утрированно ), 360 китайский тоже и список можно продолжить.

Работает?

Актуальность это все давно потеряло если вообще имело, есть один рабочий способ который работал и 5 лет назад и работает по сей день: это добыча/покупка EV серта валидного, цены в районе 1-1,5к ( есть от дигисерта и по 4к но это думаю тут не интересно ) были с пол года назад.
P.S Microsoft defender ATP да и любая edr увидя такой копи подписи заорет до красной зоны, а учитывая что MS имеет привычку понемногу из старших продуктов спускать в младшие ( из ATP в defender ) используемые решения то лучше уж жить в неподписанной dll чем exe с поддельной подписью.