Всем привет! Сегодня я расскажу, как подписать сертификат нашего вируса, тем самым спрятав его от антивирусников. Тема не моя, но я сделал для нее рерайт (переписал полностью). Приступим! Использовать мы будем программу SigThief. Она разрывает подпись из файла PE, и добавляет его в другой, исправив таблицу сертификатов для подписания файла. Суть в том что эта подпись, будет фальшивой (созданной SigThief), в этом вся суть скрытия файла от антивируса. Да простят меня любители Окон, SigThief есть только на Linux Приступим к установке SigThief. Делаем гит клон Код: git clone https://github.com/secretsquirrel/SigThief Дальше командой мы открываем папку с программой Код: Cd SigTgief Запускаем программу и смотрим хелп. Код: python sigthief.py –help Теперь смотрим есть ли подпись у нашего вируса. Код: sigthief.py –i 'virus.exe' -c python sigthief.py -ссылка на файл '/user/desktop/ссылка на файл.exe' -проверить на подпись Выдает,что подпись отсутствует. Теперь проверяем файл откуда будем тырить подпись. Подписанный exe можно найти на сайте Microsoft - http://docs.microsoft.com/en-us/sysinternals/downloads/ Код: python sigthief.py –i 'virus.exe' -c python sigthief.py -ссылка на файл '/user/desktop/ссылка на файл.exe' -проверить на подпись Выдает,что программа подписана. Теперь мы копируем подпись с чистого exe на наш вирус. Код: python sigthief.py –i 'FireFox.exe' -t 'virus.exe' -o '/tmp/done.exe' python sigthief.py -ссылка на чистый файл '/user/desktop/ссылка на чистый файл.exe' -ссылка на наш вирус '/user/desktop/ссылка на вирус.exe' -место сохранение готового файла '/tmp/готовый файл.exe' Сохранять нужно только в темп(/tmp) Все готово,наш зловред подписан. Идем сканировать на палевность файла антивирусами. Сканировть будем конечно же через virustotal nodistribute Вот результаты http://nodistribute.com/result/wbsouq4C0XkH2tTg1rzMvp3xUV и http://nodistribute.com/result/lZ2yADz8VcYGXkf6hQLor7J0CusRv (еще не подписанный файл при первом скане так назывался,а дальше для удобности я его переименовал) В итого мы потеряли только 3 антивирусника, это произошло потому-что я для подписи использовал прям очень баянный,давно лежащий в паблике вирус. Спасибо, что прочитали данную тему.Я долго ее писал,это мой первый не копипаст P.s Даже на скринах мой ник
