Neste post bem aleatório, vou mostrar algumas coisas que devemos saber ou conhecer para realizar uma evasão de antivírus (AV).
Se você é iniciante e quer conhecer algumas coisas este conteúdo é para você.

Começo de tudo!

Se você é iniciante e decidiu procurar um mapa mental para entender os processos necessários para contornar antivírus, pode se deparar com a seguinte situação:

Bom, no post de hoje vou mostrar um carregador simples que fiz para conseguir contornar alguns antivírus bastante utilizados hoje em dia.

Obfusheader

Vou estar utilizando o projeto Obfusheader para conseguir esconder strings. É um projeto fácil de utilizar.

Voidgate

Voidgate vai ser modificado e usado para executar nossa payload Voidgate é um projeto que utiliza uma técnica que pode ser usada para contornar scanners de memoria de AV/EDR. ele pode ser usado para esconder shellcodes bem conhecidos e detectados como as do msfvenom executando on-the-fly decryption of individual encrypted assembly instructions, tornando assim os scanners de memória inúteis para aquela página de memória específica.

Bom ao longo dos anos, os antivírus têm melhorado cada vez mais suas técnicas de detecção. Uma dessas técnicas é realizar um hooking nas DLLs no Windows, que podem ser utilizadas por malwares. no post de hoje vou abordar uma técnica antiga e simples de como podemos realizar a técnica de DLL unhooking para contornar possíveis antivírus.

O que é um hook?

No contexto de antivírus, um hook pode ser usado para monitorar e modificar chamadas de funções em APIs do sistema, como as fornecidas pela kernel32.dll. por exemplo um antivírus pode usar hooks para interceptar chamadas a funções como CreateFile ou ReadFile para detectar atividades suspeitas de malware, caso queira saber mais sobre recomendo que leia meu post: Creating-EDR-AV.

Bom, neste post estarei mostrando como executar um executável na memória do PowerShell para contornar o Windows Defender. Eu já vi várias vezes pela internet pessoas venderem Crypters que têm a capacidade de contornar o Windows Defender e ao prestar atenção aos vídeos, na maioria das vezes percebi que o processo final quase sempre era o PowerShell, Não vou mostrar a técnica exata utilizada por crypters, mas sim uma que pode ser usada de maneira semelhante. Então pensei, por que não escrever mais um post no meu blog mostrando como fazer isso? Então Recomendo que você leia o post anterior Patch-AMSI antes de continuar, pois ele será usado.