01
工具介绍
攻击者可能会使用二进制填充来添加垃圾数据并更改恶意软件在磁盘上的表示形式。这样做不会影响二进制文件的功能或行为,但由于文件大小限制,二进制文件的大小可能会超出某些安全工具的处理能力。
二进制填充有效地改变了文件的校验和,也可以用来避免基于哈希的阻止列表和静态防病毒签名。使用的填充通常由创建垃圾数据的函数生成,然后附加到末尾或应用于恶意软件的各个部分。增加文件大小可能会降低某些工具和检测功能的有效性,这些工具和检测功能并非设计或配置为扫描大文件。这也可能降低被收集进行分析的可能性。公共文件扫描服务(如 VirusTotal)限制要分析的上传文件的最大大小
https://attack.mitre.org/techniques/T1027/001/
02
工具效果
SharpIncrease 可以绕过许多安全措施,并可与各种文件扩展名一起使用。
您甚至可以使用空字节增加 Windows 窗体应用程序的大小。
目前为止,SharpIncrease 已经测试过的安全产品有:
-电子邮件安全产品-EDR-NextGenAV-AV-EPP
____ _ ___ / ___|| |__ __ _ _ __ _ __|_ _|_ __ ___ _ __ ___ __ _ ___ ___ \___ \| '_ \ / _` | '__| '_ \| || '_ \ / __| '__/ _ \/ _` / __|/ _ \ ___) | | | | (_| | | | |_) | || | | | (__| | | __/ (_| \__ \ __/ |____/|_| |_|\__,_|_| | .__/___|_| |_|\___|_| \___|\__,_|___/\___| |_| Mert Daş @merterpreterUsage: SharpIncrease.exe -D inputfile -S MB -O outputfile
工具使用
SharpIncrease.exe -D 你的恶意软件.exe -S 350 -O padded.exe
03
工具下载
https://github.com/mertdas/SharpIncrease
文章来源:Hack之道
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容