elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Ayuda a indetectar programa benigno con falso positivo
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ayuda a indetectar programa benigno con falso positivo  (Leído 2,730 veces)
carlosclanguagedev

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Ayuda a indetectar programa benigno con falso positivo
« en: 6 Mayo 2013, 08:07 am »

Hola. Estoy desarrollando un pseudo compilador de archivos batch, con la única novedad de que nunca escribe el código fuente del archivo batch, al disco duro, es decir, lo ejecuta desde la memoria. Lo escribí en c y uso el compilador tiny c 0.9.26 (modificado un poco para que solo haga llamadas a las funciones que uso dentro del código). Hasta ahí todo bien, pero el problema que tengo es que al pasar los ejecutables por virustotal, es detectado por algunos antivirus, y son falso positivos. El problema es mayor cuando inserto dentro del ejecutable archivos cifrados como recursos de tipo RC_DATA.

Quisiera pedir ayuda, por favor para que me puedan orientar primeramente como sacar la detección de AVG: TR/ATRAPS.Gen del ejecutable que no contiene recursos.
Traté de encontrar la forma, pero no pude.

Aquí está el ejecutable (sin recursos), (no hace otra cosa más que copiar cmd.exe a una carpeta temporal, porque no contiene el recurso necesario) pero es del cual necesito ayuda por favor:

Código:
https://docs.google.com/file/d/0Bwkz9A1Xk3PmdFRIV00tNDFWZUE/edit?usp=sharing

el ejecutable con recursos incluidos (sin url) es es detectado como Gen:Trojan.Heur.FU.amW@auBSHQp

Quiero seguir avanzando en este proyecto pero esto me ha detenido y quiero saber cómo puedo sacar la primera detección de AVG, y de paso preguntar alguna sugerencia para insertar resources en un ejecutable y evitar este tipo de problemas.
« Última modificación: 6 Mayo 2013, 08:26 am por carlosclanguagedev » En línea

daryo


Desconectado Desconectado

Mensajes: 1.070



Ver Perfil WWW
Re: Ayuda a indetectar programa benigno con falso positivo
« Respuesta #1 en: 6 Mayo 2013, 16:11 pm »

bueno por lo que mencionas tu programa tiene cierto parecido con un crypter runtime (usado para indetectar malware)tienes dos opciones llamar las funciones de la api de windows de forma dinamica o buscar otra forma de hacer lo que haces con otras funciones y/o herramientas :) .
En línea

buenas
carlosclanguagedev

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: Ayuda a indetectar programa benigno con falso positivo
« Respuesta #2 en: 6 Mayo 2013, 19:48 pm »

gracias por responder, intentaré comentar casi todas las líneas del código e ir testeando y habilitando mientras no sea detectado el falso positivo.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Falso positivo con Medusa metodo web-form
Hacking
transfersote 1 2,877 Último mensaje 23 Mayo 2013, 10:11 am
por transfersote
shell injection o falso positivo
Nivel Web
charlymd 4 3,841 Último mensaje 19 Julio 2015, 06:51 am
por sqln00b
Ayuda envio falso paquete
Ingeniería Inversa
Elargrt 2 2,068 Último mensaje 11 Agosto 2015, 09:36 am
por Mad Antrax
Falso positivo
Dudas Generales
Rnovatis 1 2,371 Último mensaje 6 Septiembre 2016, 00:06 am
por Eleкtro
wacatac.b ml falso positivo, por que?
Programación C/C++
colcrt 1 4,059 Último mensaje 12 Febrero 2021, 19:56 pm
por Eternal Idol
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines