elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  [?] Proactiva?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [?] Proactiva?  (Leído 4,823 veces)
MeCraniDOS


Desconectado Desconectado

Mensajes: 337


Sr. Glass


Ver Perfil
[?] Proactiva?
« en: 15 Diciembre 2014, 11:29 am »

Hola,

Tengo una duda, estoy tratando de hacer indetectable un exe (para aprender  :rolleyes:), el antivirus es Trend Micro Internet Security, probando un par de cosas consigo que no me lo detecte, pero al ejecutarlo, a los dos segundos me dice que es sospechoso y me lo borra  :huh:

A eso se le llama proactiva?  :huh:

Como puedo hacer que no lo detecte?

(Con crypters y eso no me lo detecta cuando lo analizo, solo cuando lo ejecuto)

Gracias y saludos
En línea

"La física es el sistema operativo del Universo"
     -- Steven R Garman
fary
Moderador
***
Desconectado Desconectado

Mensajes: 1.061



Ver Perfil WWW
Re: [?] Proactiva?
« Respuesta #1 en: 15 Diciembre 2014, 13:53 pm »

Se llama heurística, y para hacerlo indetectable hay, o había varios truquillos como hacer un bucle de X duración al iniciar el programa y cosas así.

Básicamente detecta el modo en el que haces las cosas.


En línea

Un byte a la izquierda.
MeCraniDOS


Desconectado Desconectado

Mensajes: 337


Sr. Glass


Ver Perfil
Re: [?] Proactiva?
« Respuesta #2 en: 15 Diciembre 2014, 17:08 pm »

Se llama heurística, y para hacerlo indetectable hay, o había varios truquillos como hacer un bucle de X duración al iniciar el programa y cosas así.

Básicamente detecta el modo en el que haces las cosas.


Hacer un delay al incio? Si en teoria detecta el modo en el que hace las cosas un determinado exe, porque a los 5 segundos (por ejemplo) ya no lo detecta?

Cual es la diferencia entre proactiva y heuristica?

En teoria "proactiva" tambien detecta el comportamiento sospechoso por lo que hace un software  :huh:
En línea

"La física es el sistema operativo del Universo"
     -- Steven R Garman
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: [?] Proactiva?
« Respuesta #3 en: 16 Diciembre 2014, 07:38 am »

Hola,

Tengo una duda, estoy tratando de hacer indetectable un exe (para aprender  :rolleyes:), el antivirus es Trend Micro Internet Security, probando un par de cosas consigo que no me lo detecte, pero al ejecutarlo, a los dos segundos me dice que es sospechoso y me lo borra  :huh:

A eso se le llama proactiva?  :huh:

Como puedo hacer que no lo detecte?

(Con crypters y eso no me lo detecta cuando lo analizo, solo cuando lo ejecuto)

Gracias y saludos


Hacer un delay al incio? Si en teoria detecta el modo en el que hace las cosas un determinado exe, porque a los 5 segundos (por ejemplo) ya no lo detecta?

Cual es la diferencia entre proactiva y heuristica?

En teoria "proactiva" tambien detecta el comportamiento sospechoso por lo que hace un software  :huh:

Proactividad se basa en monitorizar ciertos eventos que se intenten realizar, Heuristica detecta por ciertos patrones o comportamientos.

-

Si el malware está siendo detectado en tiempo de ejecución, en general podria ser una combinación de Emulación, Heuristica y Proactividad (si ellos existen en el motor del Antivirus) ya que funcionan muy estrechamente entre si. Si estás usando un Crypter y aún sigue detectando el malware entonces está mal diseñado o mejor dicho no está cumpliendo su función de un verdadero Crypter, obviamente.

Para darte una solución general ya que no sabemos si la detección es exactamente por Proactividad o Heuristica o una combinación de los dos, debes de saber cómo los Antivirus funcionan y detectar la emulación de código que en la mayoria de los casos es lo que dependen la Proactividad y la Heuristica, asi que leer acerca de emulación de código, Virtualización que es lo que hacen los Antivirus para detectar en tiempo de ejecución.

Y agregado Bucles, Delays es la peor de las maneras que existen y personalmente no la recomiendo, no te asegura que el Malware sea indetectables y la gente que lo hace es simplemente agregar un bucle que durará 5-10 mins en el sistema que están haciendo las pruebas, los Antivirus que toman en cuenta el tiempo empleado para intentar detectar un Malware no se basan en segundos o minutos sino en cantidad de tamaño de la unidad de tiempo del sistema. Asi como un bucle puede ejecutarse por 10 minutos en un Pentium, en un i3 podrian ser 5 minutos, en un i7 con 4 nucleos sólo 1 minuto o así...

Además de eso, Antivirus como Kaspersky no son tan idiotas, podrian detectar el flujo de ejecución de un hilo. Así que lo que quiero dar a entender es que Delaying, retardo o como le llamen, no es la solución correcta para derrotar a los Antivirus, no es más que sólo un intento de escape muy generico y en la mayoria de los casos no funcional en efectos de sistemas reales sin mencionar que sólo afecta en el rendimiento del sistema y no ayuda contra paranoia del usuario.


« Última modificación: 17 Diciembre 2014, 23:03 pm por x64Core » En línea

MeCraniDOS


Desconectado Desconectado

Mensajes: 337


Sr. Glass


Ver Perfil
Re: [?] Proactiva?
« Respuesta #4 en: 16 Diciembre 2014, 11:50 am »

Para darte una solución general ya que no sabemos si la detección es exactamente por Proactividad o Heuristica o una combinación de los dos, debes de saber cómo los Antivirus funcionan y detectar la emulación de código que en la mayoria de los casos es lo que dependen la Proactividad y la Heuristica, asi que leer acerca de emulación de código, Virtualización que es lo que hacen los Antivirus para detectar en tiempo de ejecución.

Entonces realmente el antivirus ejecuta el archivo en una "maquina virtual" y detecta el comportamiento?

Detectando como virtualiza se podria programar un anti para que no hiciese nada mientras se esta emulando?  :silbar:


Y agregado Bucles, Delays es la peor de las maneras que existen y personalmente no la recomiendo, no te asegura que el Malware sea indetectables y la gente que lo hace es simplemente agregar un bucle que durará 5-10 mins en el sistema que están haciendo las pruebas, los Antivirus que toman en cuenta el tiempo empleado para intentar detectar un Malware no se basan en segundos o minutos sino en tiempo de tamaño de la unidad fisica del sistema. Asi como un bucle puede ejecutarse por 10 minutos en un Pentium, en un i3 podrian ser 5 minutos, en un i7 con 4 nucleos sólo 1 minuto o así...

Además de eso, Antivirus como Kaspersky no son tan idiotas, podrian detectar el flujo de ejecución de un hilo. Así que lo que quiero dar a entender es que Delaying, retardo o como le llamen, no es la solución correcta para derrotar a los Antivirus, no es más que sólo un intento de escape muy generico y en la mayoria de los casos no funcional en efectos de sistemas reales sin mencionar que sólo afecta en el rendimiento del sistema y no ayuda contra paranoia del usuario.

En verdad si.. lo veia una solucion algo chapuzas  :rolleyes:

Gracias x64Core  ;D,

Un saludo
« Última modificación: 16 Diciembre 2014, 12:58 pm por #!drvy » En línea

"La física es el sistema operativo del Universo"
     -- Steven R Garman
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: [?] Proactiva?
« Respuesta #5 en: 17 Diciembre 2014, 23:01 pm »

Entonces realmente el antivirus ejecuta el archivo en una "maquina virtual" y detecta el comportamiento?

Detectando como virtualiza se podria programar un anti para que no hiciese nada mientras se esta emulando?  :silbar:


En verdad si.. lo veia una solucion algo chapuzas  :rolleyes:

Gracias x64Core  ;D,

Un saludo

Sí, detectar el entorno virtualizado si el Antivirus tiene, algunos sólo tienen un simple emulador de código muy primitivo.
En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.164


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [?] Proactiva?
« Respuesta #6 en: 18 Diciembre 2014, 09:25 am »

Algunas proactivas de los AV monitorizan las llamadas a las API's, así detectan comportamientos sospechosos.

Por ejemplo, si un ejecutable, hace una llamada a RegOpenKeyEx (para leer el registro), la proactiva del AV puede "hookear" esa llamada, leer los parametros y comprobar si se está accediendo a HKLM\Software\Microsoft\Windows\CurrentVersion\Run y detectar así un intento de autorun. Lo mismo para APIS de borrar ficheros, copiar, etc...

Saludos
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: [?] Proactiva?
« Respuesta #7 en: 18 Diciembre 2014, 17:46 pm »

Algunas proactivas de los AV monitorizan las llamadas a las API's, así detectan comportamientos sospechosos.

Por ejemplo, si un ejecutable, hace una llamada a RegOpenKeyEx (para leer el registro), la proactiva del AV puede "hookear" esa llamada, leer los parametros y comprobar si se está accediendo a HKLM\Software\Microsoft\Windows\CurrentVersion\Run y detectar así un intento de autorun. Lo mismo para APIS de borrar ficheros, copiar, etc...

Saludos
Además de que Hooking se debe evitar lo más posible debido a la inestabilidad y compatibilidad con x64, Windows provee Callbacks para monitorizar acceso al registro, no conozco ningun Antivirus que emplee Hooking para funciones como: NtOpenKey, NtCreateKey, etc. en lugar de usar Callbacks, seria usado por Antivirus muy primitivos. Lo mismo para archivos, se añade un Driver de filtro al FileSystem para controlar acceso I/O.
En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.164


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [?] Proactiva?
« Respuesta #8 en: 18 Diciembre 2014, 21:41 pm »

Exacto, por eso puse "hooks" entre comillas. Si no recuerdo mal, KAV instala un pequeño driver que hace de "filtro" a esas llamadas y detecta comportamiento "vírico" en su heuristica. kl1.sys creo que se llamaba
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
xxxposeidonxxx

Desconectado Desconectado

Mensajes: 83



Ver Perfil WWW
Re: [?] Proactiva?
« Respuesta #9 en: 19 Diciembre 2014, 04:07 am »

Tira de Java y pagales con la misma moneda.  ;D
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines