SharpIncrease: 二进制填充来逃避 AV 的工具

admin
admin
admin
138635
文章
114
评论
2024年7月4日12:25:53评论58 views字数 863阅读2分52秒阅读模式

攻击者可能会使用二进制填充来添加垃圾数据并更改恶意软件在磁盘上的表示形式。这样做不会影响二进制文件的功能或行为,但由于文件大小限制,二进制文件的大小可能会超出某些安全工具的处理能力。

二进制填充有效地改变了文件的校验和,也可以用来避免基于哈希的阻止列表和静态防病毒签名。使用的填充通常由创建垃圾数据的函数生成,然后附加到末尾或应用于恶意软件的各个部分。增加文件大小可能会降低某些工具和检测功能的有效性,这些工具和检测功能并非设计或配置为扫描大文件。这也可能降低被收集进行分析的可能性。公共文件扫描服务(如 VirusTotal)限制要分析的上传文件的最大大小

https://attack.mitre.org/techniques/T1027/001/

绕过检测

SharpIncrease 可以绕过许多安全措施,并可与各种文件扩展名一起使用。

您甚至可以使用空字节增加 Windows 窗体应用程序的大小。

目前为止,SharpIncrease 已经测试过的安全产品有:

-E-Mail Security Products
-EDRs
-NextGenAVs
-AVs
-EPPs

一种旨在通过二进制填充来逃避 AV 的工具



  ____  _                     ___ / ___|| |__   __ _ _ __ _ __|_ _|_ __   ___ _ __ ___  __ _ ___  ___ ___ | '_  / _` | '__| '_ | || '_  / __| '__/ _ / _` / __|/ _   ___) | | | | (_| | |  | |_) | || | | | (__| | |  __/ (_| __   __/ |____/|_| |_|__,_|_|  | .__/___|_| |_|___|_|  ___|__,_|___/___|                        |_|

            Mert Daş     @merterpreter



Usage: SharpIncrease.exe -D inputfile -S MB -O outputfile

一种旨在通过二进制填充来逃避 AV 的工具

SharpIncrease.exe -D yourmalmalware.exe -S 350 -O padded.exe
https://github.com/mertdas/SharpIncrease

原文始发于微信公众号(Ots安全):一种旨在通过二进制填充来逃避 AV 的工具

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月4日12:25:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   SharpIncrease: 二进制填充来逃避 AV 的工具https://cn-sec.com/archives/2918426.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息