 Autor
|
Tema: Agregar ejecutable a lista de permitidos del AV (Leído 13,391 veces)
|
Vaagish
 Desconectado
Mensajes: 875
|
Yo no probé aun, pero lo voy a intentar.. resulta que tengo 2 versiones de avast instaladas,, una en la pc del trabajo y la otra en casa, en la versión del trabajo me salta la ventana de "enviar al baúl o permitir" al inyectar una dll en cualquier proceso, y en la de casa no. El lunes voy a empezar a hacer pruebas, a ver si es tan complicado.. Saludos!! PD: Lo bueno de mi trabajo es que tengo 8 maquinas a mi disposición, y programo 8 hs por día..  |
|
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Que estas hablando? Acaso lo haz comprobado por ti mismo para decir algo como eso? Procmon no es bloqueado por antivirus, el ejecutable y el driver estan firmados por Microsoft. De lo contrario indicá qué Antivirus esta bloqueando o detectando eso de dices que hacen.
Creo que no entendiste mi comentario... Sólo dije que RegShot es mejor ya que no es posible detectarlo. Imagino que en eso estás de acuerdo conmigo...
Yo no probé aun, pero lo voy a intentar.. resulta que tengo 2 versiones de avast instaladas,, una en la pc del trabajo y la otra en casa, en la versión del trabajo me salta la ventana de "enviar al baúl o permitir" al inyectar una dll en cualquier proceso, y en la de casa no. El lunes voy a empezar a hacer pruebas, a ver si es tan complicado.. Saludos!! PD: Lo bueno de mi trabajo es que tengo 8 maquinas a mi disposición, y programo 8 hs por día.. Actualiza a la última versión para tener pruebas consistentes  Suerte! 
|
|
|
|
|
En línea
|
|
|
|
x64core
Desconectado
Mensajes: 1.908
|
Creo que no entendiste mi comentario... Sólo dije que RegShot es mejor ya que no es posible detectarlo. Imagino que en eso estás de acuerdo conmigo...
Actualiza a la última versión para tener pruebas consistentes Suerte! Ocultarlo de programas Anti-Virus? Porqué alguíen querría ocultar Procmon de Anti-Virus? Estamos hablando de filtrar datos de Anti-virus no de Malware.
|
|
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Sencillamente digo que Procmon es mucho más intrusivo que RegShot (u otros analizadores en frío). En caso de que el AV hiciese comprobaciones (no lo he comprobado pero me parecería lógico) RegShot no deja rastro.
No desviemos más el tema con esto.
|
|
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Chicos, ya fue.. lo importante es descubrir si se puede, hoy voy a hacer pruebas con el ultimo Avast, aunque no recuerdo haber visto la ventana famosa de "meter al baúl o permitir", por lo general el Avast me borra de una los "ejecutables maliciosos", de no tener esa opción, ya no hay punto de discusión.. Simplemente seria imposible, jeje voy a tener que hacer un programa primero que me lleve a la ventana de "permitir programa", y después empezar las pruebas  |
|
|
|
|
En línea
|
|
|
|
|
daryo
|
edit:
respondi algo que no era ._.
|
|
|
|
« Última modificación: 1 Diciembre 2013, 19:21 pm por daryo »
|
En línea
|
buenas
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Esta seria la ventana para agregar un ejecutable para que no se analice con SandBox, ahí se podría intentar agregar un ejecutable,..  Y esta otra es la ventana para agregar un archivo a la exclusiones en general, este archivo no se analizara, o todos los archivos con X extensión, si podemos modificar el comportamiento del antivirus desde modo usuario (Cosa que dudo mucho), podríamos encontrar un fallo grave de seguridad..  Saludos!!
Amigos! Encontré la ruta!!! (No fue muy complicado, para ser sincero..) ahora hay que ver si se puede escribir.. si todo sale bien, subo un código que haga todo automático.. ScanExceptions=<RW>?:\PageFile.sys;<RW>*\System.da?;<RW>*\User.da?;<RW>*.fon;<RW>*.txt;<RW>*.log;<RW>*.ini;<RW>*\Bootstat.dat;<W>*\firefox\profiles\*sessionstore*.js;C:\Documents and Settings\UFoxx\Escritorio\Downware2\Release\* Y comprobado, al excluir un directorio del análisis, ni siquiera se comprueba con SandBox, o sea que.. si se puede escribir en ese archivo, se podría escalar a algo mejor, el antivirus no lo analizaría.. Saludos! |
|
|
|
« Última modificación: 1 Diciembre 2013, 22:37 pm por Karcrack »
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Con RegShot seguro que fue fácil   ¿Está en el registro de Windows? De ser así espero que esté en HKLM  Aunque en Windows XP los privilegios de administrador no serán un problema jaja |
|
|
|
|
En línea
|
|
|
|
Vaagish
Desconectado
Mensajes: 875
|
Con RegShot seguro que fue fácil ¿Está en el registro de Windows? De ser así espero que esté en HKLM Aunque en Windows XP los privilegios de administrador no serán un problema jaja Si, una pasada.. es un INI el que guarda la información,, y ahora mismo me esta dando problemas, "Asegúrese de que el archivo no esta abierto por otra aplicación" (No podía ser tan fácil) El archivo esta en All Users\Datos de programa\AVAST Software\Avast\FileSystemShield.ini [Common]
ProviderEnabled=1
[FileSystem]
ScanDLLOnLoad=1
ScanExceptions=<RW>?:\PageFile.sys;<RW>*\System.da?;<RW>*\User.da?;<RW>*.fon;<RW>*.txt;<RW>*.log;<RW>*.ini;<RW>*\Bootstat.dat;<W>*\firefox\profiles\*sessionstore*.js
ScanOnExecute=1
ScanScriptsOnExecute=1
ScanOnOpenAllFiles=0
ScanOnOpenCustomExtensions=0
ScanOnOpenDocuments=1
Por lo que veo, las opciones de configuración están separadas en "módulos" (Diferentes archivos ini) Estos serian: NetworkShield, WebShield, IMShield, ScriptShield, EmailShield,, cada uno corresponde a cada modulo de seguridad del AV. Ya por hoy, tengo que dejar la investigación.. pero mañana le doy palo jejeje Saludos! y Gracias!
|
|
|
|
|
En línea
|
|
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Fallo de segmentación al agregar mas nodos en una lista.
Programación C/C++
|
samur88
|
0
|
2,945
|
19 Enero 2011, 15:08 pm
por samur88
|
|
|
|
Agregar bites a un ejecutable
Ingeniería Inversa
|
my_sistemas
|
3
|
2,682
|
3 Febrero 2011, 20:53 pm
por apuromafo CLS
|
|
|
|
Intento de agregar sección a ejecutable
Análisis y Diseño de Malware
|
fary
|
6
|
4,351
|
7 Octubre 2011, 17:59 pm
por The Swash
|
|
|
|
agregar un Item Fecha a una Lista prehecha
.NET (C#, VB.NET, ASP)
|
llogui
|
0
|
1,491
|
15 Septiembre 2016, 00:36 am
por llogui
|
|
|
|
Agregar propiedades a lista de tareas
.NET (C#, VB.NET, ASP)
|
bybaal
|
1
|
2,716
|
20 Octubre 2022, 01:46 am
por Elektro Enjuto
|
 |
