Правильная поза для подписания, чтобы не убить
00
Предисловие
Здесь мы проверяем влияние подписи exe на результаты уничтожения VT и фактическую способность защиты от уничтожения.
Включая компилятор vs v143 и компилятор Intel C++.
Четыре метода подписи:
- нет подписи
- кража подписи
- Неверная подпись
- действительная подпись
И два аспекта тестирования:
- ВТ проверь и убейтест
- Тест пустой упаковки: код без содержания
- Простой тест трояна: Самый простой загрузчик шеллкода, ничего не шифрующий.
- Более сложное тестирование троянов: шифрование шеллкода с использованием загрузчика обратного вызова HTTP
- Антивирусный : включая тест tinder, 360, защитник, каба
Скриншотов много, поэтому вы можете прокрутить их до конца, чтобы просмотреть сводку. Загрузка набора инструментов для подписи завершена.
один
Тест пустой упаковки
Упакуйте пустой exe без содержимого:
1. Нет подписи
против компилятора по умолчанию v143:
компилятор Intel C++:
2. кража подписи
Здесь украден сертификат 360:
против компилятора по умолчанию v143:
3. Неверная подпись
Используйте инструмент подписи GUIинструментгенерироватьодин Сертификат Майкрософт:
Подпишитесь с помощью инструмента подписи Microsoft:
Поскольку при подписании не указан срок отсечки, то отсечка по времени недоступна, что также означает, что подпись недействительна:
против компилятора по умолчанию v143:
4. Действительная подпись
Добавьте сервер отсечки времени при подписании:
После подписания время подписания будет отображаться на отсечке времени:
против компилятора по умолчанию v143:
два
Простой тест трояна
Здесь мы используем самый простой загрузчик и не делаем никакого шифрования для тестирования:
1. Нет подписи
против компилятора по умолчанию v143:
компилятор Intel C++:
2. кража подписи
против компилятора по умолчанию:
Только до двух.
компилятор Intel C++:
Эффект практически не изменился.
3. Неверная подпись
против компилятора по умолчанию:
уменьшено на 5.
компилятор Intel C++:
уменьшено на 2.
4. Действительная подпись
против компилятора по умолчанию:
уменьшено на 6.
компилятор Intel C++:
уменьшено на 2.
три
Более сложное тестирование троянов
Шифрование шелл-кода с использованием загрузчика обратного вызова HTTP:
1. Нет подписи
против компилятора по умолчанию:
компилятор Intel C++:
2. кража подписи
против компилятора по умолчанию:
компилятор Intel C++:
3. Неверная подпись
против компилятора по умолчанию:
компилятор Intel C++:
4. Действительная подпись
против компилятора по умолчанию:
компилятор Intel C++:
Четыре
Антивирусный тест
Для удобства тестирования exe переименован:
Префикс vs представляет компилятор по умолчанию, а префикс Intel представляет Intel. c++компилировать;testпредставлять Простой троян,test1представлять Более сложные трояны;invalidпредставлять Неверная подпись,signedпредставлятькража подписи,signedsдействительная подпись。
360. Тест Тиндера:
Простые трояны были уничтожены, трояны, скомпилированные с помощью Intel C++, и более сложные трояны по сравнению с компилятором по умолчанию - все выжили.
Столкнувшись с уничтожением защитника:
Только более сложные трояны в Каббе могут работать нормально:
Через несколько минут их всех устранили, но о яде не сообщалось.
01
Подвести итог
Таблица влияния подписей на результаты убийства ВТ:
тест | компилятор | ВТ проверь и убей | |||
|---|---|---|---|---|---|
нет подписи | кража подписи | Неверная подпись | действительная подпись | ||
Пустой пакет | v143 | 4 | 3 | 2 | 2 |
Intel C++ Compiler | 0 | - | - | - | |
Простой троян | v143 | 31 | 29 | 26 | 25 |
Intel C++ Compiler | 23 | 23 | 21 | 21 | |
Более сложные трояны | v143 | 7 | 3 | 3 | 2 |
Intel C++ Compiler | 2 | 3 | 2 | 2 | |
Пустой пакетчасintel Компилятор C++ может выполнять уничтожение VT0, то есть, если уровень кода достаточно хорош, чтобы избежать уничтожения, используйте intel Компилятор C++ может выполнять уничтожение VT0. При избегании убийства на уровне кода, sigthief, Неверная подписьидействительная подпись может существенно снизить риск отравления. Sigthief может уменьшить отравление, но может усилить отравление, если оно незначительное. Неверная подпись работает лучше, чем sigthief,действительная подписьнемного лучше, чем Неверная подпись。
Антивирусный тестрезультат:
Tinder、360:Простые трояны были уничтожены, трояны, скомпилированные с помощью Intel C++, и более сложные трояны по сравнению с компилятором по умолчанию - все выжили.
защитник: Вся армия уничтожена.
Каба:только Более сложные трояны могут запускаться нормально, но завершаются через несколько минут без сообщения о вирусе.
Подведение к двум вышеперечисленным Таким образом, нет большой разницы между подписанием и отсутствием подписи при работе с реальным антивирусным программным обеспечением, но это может улучшить внешний вид данных на VT. Конечно, это только для самоподписанного сертификата. подпишите, результат может быть будет лучше.
Безопасность кои
Платформа для изучения и обмена технологиями безопасности
Нажмите, чтобы поделиться
Нажмите, чтобы добавить в избранное
Нравится
Нажмите, чтобы увидеть
Неразрушающее увеличение изображений одним щелчком мыши, чтобы сделать их более четкими артефактами искусственного интеллекта, включая руководства по установке и использованию.
Копикодер: этот инструмент отлично работает с Cursor, Bolt и V0! Предоставьте более качественные подсказки для разработки интерфейса (создание навигационного веб-сайта с использованием искусственного интеллекта).
Новый бесплатный RooCline превосходит Cline v3.1? ! Быстрее, умнее и лучше вилка Cline! (Независимое программирование AI, порог 0)
Разработав более 10 проектов с помощью Cursor, я собрал 10 примеров и 60 подсказок.
Я потратил 72 часа на изучение курсорных агентов, и вот неоспоримые факты, которыми я должен поделиться!
Идеальная интеграция Cursor и DeepSeek API
DeepSeek V3 снижает затраты на обучение больших моделей
Артефакт, увеличивающий количество очков: на основе улучшения характеристик препятствия малым целям Yolov8 (SEAM, MultiSEAM).
DeepSeek V3 раскручивался уже три дня. Сегодня я попробовал самопровозглашенную модель «ChatGPT».
Open Devin — инженер-программист искусственного интеллекта с открытым исходным кодом, который меньше программирует и больше создает.
Эксклюзивное оригинальное улучшение YOLOv8: собственная разработка SPPF | SPPF сочетается с воспринимаемой большой сверткой ядра UniRepLK, а свертка с большим ядром + без расширения улучшает восприимчивое поле
Популярное и подробное объяснение DeepSeek-V3: от его появления до преимуществ и сравнения с GPT-4o.
9 основных словесных инструкций по доработке академических работ с помощью ChatGPT, эффективных и практичных, которые стоит собрать
Вызовите deepseek в vscode для реализации программирования с помощью искусственного интеллекта.
Познакомьтесь с принципами сверточных нейронных сетей (CNN) в одной статье (суперподробно)
50,3 тыс. звезд! Immich: автономное решение для резервного копирования фотографий и видео, которое экономит деньги и избавляет от беспокойства.
Cloud Native|Практика: установка Dashbaord для K8s, графика неплохая
Краткий обзор статьи — использование синтетических данных при обучении больших моделей и оптимизации производительности
MiniPerplx: новая поисковая система искусственного интеллекта с открытым исходным кодом, спонсируемая xAI и Vercel.
Конструкция сервиса Synology Drive сочетает проникновение в интрасеть и синхронизацию папок заметок Obsidian в облаке.
Центр конфигурации————Накос
Начинаем с нуля при разработке в облаке Copilot: начать разработку с минимальным использованием кода стало проще
[Серия Docker] Docker создает мультиплатформенные образы: практика архитектуры Arm64
Обновление новых возможностей coze | Я использовал coze для создания апплета помощника по исправлению домашних заданий по математике
Советы по развертыванию Nginx: практическое создание статических веб-сайтов на облачных серверах
Feiniu fnos использует Docker для развертывания личного блокнота Notepad
Сверточная нейронная сеть VGG реализует классификацию изображений Cifar10 — практический опыт Pytorch
Начало работы с EdgeonePages — новым недорогим решением для хостинга веб-сайтов
[Зона легкого облачного игрового сервера] Управление игровыми архивами
