Moin!

Ich bin gerade dabei einen Vortrag in der Uni zum Thmea Sicherheit zu erstellen. Ein Thema ist der Virenscanner, wie sicher sind die Scanner, wie einfach kann ich einen AV Scannerüberlisten:

Aktuell habe ich mit Veil-Evasion unter Kali Linux ein paar Trojaner erstellt. Leider werden unter Windows ALLE erstellte Programme gefunden.
C#, Python, mit AES verschlüsselung etc.


Auf meinem Windows Rechner läuft ein "avira free Antivirus".

Habt ihr hier bereits Erfahrung gemacht?
Konntet ihr den Antivir überlisten?
Auf youtube gibt es einige videos, auf denen der Av überlistet wird. Nur frag ich mich ob die AV besser geworden sind und alle Veil-Evasion programe mittlerweile erkannt werden, oder ob ich mein System falsch nutze?


danke!

Das Problem ist, dass viele die FUD payloads haben diese dann auf online AV Checker hochladen (https://www.virustotal.com/de/). Die geben die Daten dann weiter an die AV hersteller, danach sind sie nicht mehr FUD. Du kannst Veil natürlich nutzen aber nicht nach einer public methode aus dem Internet.
Lies dir mal durch was "crypter" oder "packer" sind und wie sie funktionieren.
Außerdem kannst du auch nachlesen was "Offsets" sind und in dem Zusammenhang auch mal AVDevil testen. Das ist ein Programm speziell für Avira.

Hi, danke für deine Antwort!

Ich habe versucht mittels Shellter meine Exe zu ändern. Hierbei ist mit aufgefallen, dass meine msf - RAW output eine größe von ca. 1MB hat.
Im Tutorial liegen die User bei 300 kb :-/ shellter sagt mir, durch die Dateigröße kann mein RAW nicht eingebunden werden.


Es geht mir insgesamt darum, zu zeigen wie ein Virenscanner überlistet werden kann, es muss kein besonderer von SV sein...

Wenn ihr ein aktuelles Tutorial oder Webseite habt, nur her damit

Hast du den Quellcode deines zu tarnenden Programms?
Dann wirst du unter Umständen mit trash code, obfuscaten, apis dynamisch laden etc. mehr Erfolg haben als mit einem PE Crypter.