Autor
|
Tema: Como burlar advertencias de AV (Leído 4,071 veces)
|
SockMon
Desconectado
Mensajes: 29
|
Hola, utilizo Kaspersky IS, logro hacer el server del Spy-net indetectable pero cuando lo ejecuto el AV me informa de que server.exe quiere tener acceso a datos del sistema (eso sale cada vez que abro alguna funcion del spy-net (keylooger, remote cam...) Y he puesto el server en la lista de excepciones del AV y ya no salen esos mensajes, pero claro ¿que puedo hacer para que no salga ese mensaje en una PC a la q no tenga acceso fisicamente?
|
|
« Última modificación: 4 Septiembre 2010, 19:54 pm por [Zero] »
|
En línea
|
|
|
|
SnakingMax
|
Parece que la heurística del antivirus detecta el virus. Puedes hacer un código que cierre el proceso del antivirus y adjuntarlo a tu virus con un joinner.
Código que mate el antivirus es la solución que dan algunos virus al problema de que lo detecten una lista de antivirus comunes, aunque matar el proceso tiene un problema y es que el usuario se da cuenta de que se ha cerrado su antivirus. Piensa que el virus que estás fabricando tiene código escrito que se parece a patrones de virus conocidos, por eso lo detecta el antivirus y aparece esa alarma. Puedes camuflar el virus con algun comprensor/encriptador tipo UPX, protecciones anti-debugger... etc. Pero eso será efectivo hasta que se ejecute el virus.
Saludos
|
|
|
En línea
|
|
|
|
SockMon
Desconectado
Mensajes: 29
|
Pero eso será efectivo hasta que se ejecute el virus.
Saludos
Pero una vez que sea ejecutado volvera a salir esas notificaciones y apareceria de nuevo el problema.
|
|
|
En línea
|
|
|
|
Edu
Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
Pero como lograste hacer indetectable el server del spynet? usando crypters? si es asi, talvez usaste un crypter scan time, busca otro q sea runtime, en realidad la mayoria q bajes van a ser runtime, pero bajate otro q sea nuevo y analizalo bien a ver si lo detecta
|
|
|
En línea
|
|
|
|
SockMon
Desconectado
Mensajes: 29
|
Si utilice un crypter y es tanto runtime como scantime, en realidad el AV no lo detecta como virus si no que me informa de que esta teniendo acceso a datos del sistema y eso lo pone a menudo cuando intento instalar un programa que no tiene firma digital.
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
Es la proactiva del kaspersky, y no es una protección fácil de saltarse, desde modo usuario yo no conozco ninguna forma, lo más seguro sería programar algún módulo del kernel en ring0 y quitar los hooks que kaspersky pone a las apis.
Lo de matar el AV tampoco es tan sencillo, actualmente no creo que haya algún antivirus que se deje matar desde modo usuario con un simple TerminateProcess(), también sería necesario acceder a ring0.
Saludos
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza. Nietzsche
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Falsas advertencias de Facebook contienen malware
Noticias
|
wolfbcn
|
0
|
1,982
|
23 Mayo 2012, 22:52 pm
por wolfbcn
|
|
|
Busco cómo burlar una fecha
Ingeniería Inversa
|
Pingazo
|
3
|
3,668
|
3 Octubre 2013, 16:37 pm
por .:UND3R:.
|
|
|
¿Como burlar applock?
Dispositivos Móviles (PDA's, Smartphones, Tablets)
|
MaaikyBlvck
|
1
|
5,032
|
16 Septiembre 2017, 11:37 am
por alr7521
|
|
|
¿Como burlar el proxy de mi empresa?
Redes
|
voxserverhot
|
1
|
6,082
|
5 Julio 2021, 12:20 pm
por el-brujo
|
|