Вопрос про meterpeter (exe vs dll)?

Question

[Sazoks]

Дело было так.
Сгенерил я начинку meterpeter с aes256 и rc4.
Далее с одного проекта на гите скачал один файлик, где заменил шелл на свой.
В общем вся суть сводится к тому, что ты просто компилируешь все в dll и все - вот тебе зашифрованный meterpeter. Я скомпилил exe и рядом dll. Ноооо! Когда я получил сессию с exe, то почти любое мое действие дефендер палил и сессия обрывалась! А когда я получал сессию через dll (запускал с помощью rundll32.exe), то я мог делать все что душе угодно! Сканирование так же не дало результатов.
Я не понимаю, почему так происходит. В чем дело? Почему exe так сильно палится при малейшей телодвижениях, а dll - вообще нет???

Answer 1

[Александр +]

Потому что сабж не предназначен для самоисполнения. Это всегда DLL, которую кто-то где-то намеренно/случайно да подгрузит и Вы придете к успеху.