если Вам так удобнее — то пожалуйста =) Мое мнение что meter сильно удобнее как пэйлоад. А статья лишь показывает один из способов как его можно запустить на виндовой тачке (в ходе пентеста коих большинство)
Но ведь руками мы запускаем в рамках этого кейса. Представьте что копирует один человек, а запускает совсем другой =) Ирл наша задача загрузить (например отправить по почте) и каким то манипуляциями запустить его (например соц инженерия).
Если вас смутило слово декомпрес, то может распаковка будет более удачным.
Если интересен сам процесс, то файлы дефендера лежат в disk:\ProgramData\Microsoft\Windows Defender\Definition Updates\{.*}. Глянуть можно файлы mpasbase.vdm и mpavbase.vdm. В файле mpasdlta.vdm можно увидеть что изменилось с прошлого обновления. Для этого вам скорей всего понадобится скрипт ExpandDefenderSig.ps1
Мы можем авторизоваться используя ntlm хеш. Приятно будет если это хеш доменного админа.
Используя sha-1 можно попробовать задекриптить DPAPI's masterkey. Он вроде бы один на всех (его используют гугл хром, дропбокс, скайп и т.д.), используя его можно много чего цепануть =)
Боюсь такие АВ как касперкий, дрвеб, симантек и макафи потребуют чуть больше затрат для эвейда =)
с Defender проще в том плане, что мы можем сделать декомпрес его БД и посмотреть сигнатуры.
куча - это куча (heap), а стек это стек (stack). куча != стек
Если интересен сам процесс, то файлы дефендера лежат в disk:\ProgramData\Microsoft\Windows Defender\Definition Updates\{.*}. Глянуть можно файлы mpasbase.vdm и mpavbase.vdm. В файле mpasdlta.vdm можно увидеть что изменилось с прошлого обновления. Для этого вам скорей всего понадобится скрипт ExpandDefenderSig.ps1
Используя sha-1 можно попробовать задекриптить DPAPI's masterkey. Он вроде бы один на всех (его используют гугл хром, дропбокс, скайп и т.д.), используя его можно много чего цепануть =)
с Defender проще в том плане, что мы можем сделать декомпрес его БД и посмотреть сигнатуры.