Безопасно заливаем файлы на VirusTotal, не убивая билд (50% рабочий способ)

Дарова, форум!

Не удивлюсь, если после этой статьи окажется, что метод не работает, и мне дадут бан, но юзал его годик назад, все было гуд

Короче, антискан давно усоп, а платить за авчек чёт не хочется, поэтому сегодня я расскажу, как лить свои билды на вт, при этом не получая огромный пустой отстук и такой же детект

1. Берём наш файлик, который хотим проверить (*******/рат/другой стаб, сами выбираете, чо я)
2. Качаем Resource Hacker. Софтина вроде известная, в скане и представлении и скане не нуждается. Хотя нет, он без подписи, вот вам ссылка, вот вам ****
3. Открываем наш билд в нём, ищем папку "Version Info" и меняем переменную на то, то захотим. Если у файла есть подпись, нужно сначала выполнить шаги из спойлера, чтобы её снять (новую ставим после редактирования)

Было

Стало

4. Сохраняемся

Если есть подпись:

1. Качаем инструмент FileUnsigner (Скачать | ****)

2. Закидываем билд и прогу в одну папку, прописываем команду "FileUnsigner.exe <file>". Вывод должен быть примерно таким:

Вывод

Обязательно сделайте резервную копию файла перед работой с этим софтом, так как он перезаписывает файл

Сравнение файлов

Как вы можете увидеть, у неподписанного файла нет вкладки "Цифровые подписи", а это значит, что мы всё сделали верно.

3. После того, как мы содрали подпись, нам нужно поставить новую. Зачем мы вообще её снимали? Да шоб антивирусы не приняли её в штыки в будущем, вирустотал он такой - всю инфу собирает. Качаем левый софт от какого-то чела. Советую запускать на вм, я никак не отношусь к создателю программы и не знаю, какие там вшиты вирусы. Хоть и работал на реалке, полет был нормальный, но делаем всё на вм. О чём это я? Ах да, прога - (Скачать | ****). Взглянув на детект, ещё раз скажу - ТОЛЬКО НА ВМ!

4. Зайдя в прогу, создаём сертификат в pfx и сохраняем его. Главное запомнить пароль и поставить режим self-signed, остальные настройки любые. Устанавливать сертификат в систему необязательно

Пример

5. Идём во вкладку "Подпись", загружаем сертификат и файл. В конце будет такое:

Чо будет

6. Конец работы с подписью, получается

5. Теперь нам нужно сделать рандомную фигню. Открываем экзешник блокнотом и добавляем какие-нибудь буквы где-нибудь в середину. Эта шоб не втыкали. Ладно, мы сейчас сделали это, чтобы файл нельзя было запустить (мы же не хотим, чтобы они чекали рантайм, декомпилировали и подобное). Так файл проверят только антивирусами. При запуске будет такое:

Какое

ДЕТЕКТ БУДЕТ ЗАВИСЕТЬ ЧИСТО ОТ ВЕЗЕНИЯ, смотря куда впихнули букву. Старайтесь максимально сохранить структуру файла. Мне повезло, на мемз трояне получил такое:

Ориг

Мой

Очевидно, что хорошие антивирусы будут видеть повреждённый файл, а мусорные - нет, поэтому такое различие большой роли не имеет

На этом, кажется, всё. Всем пока

А ещё я предугадываю мой скорейший или удаление статьи, потому что зеленка это такой форум. Ну и вообще, кому интересно, делаю крипт недорого

Теперь точно бан. Оцените статью, пж, пишу первый раз