elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Como evitar o suprimir el escaneo al ejecutar el archivo?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Como evitar o suprimir el escaneo al ejecutar el archivo?  (Leído 3,223 veces)
ahaugas

Desconectado Desconectado

Mensajes: 70



Ver Perfil
Como evitar o suprimir el escaneo al ejecutar el archivo?
« en: 6 Enero 2013, 14:24 »

Hola a todos estoy haciendo un software, uso un malware para crear un software de carga y ejecucion.

no tengo intenciones de aplicarlo para ningun fin malo solo que encontre un codigo fuente y me gusto.

pero a la hora de compilarlo y ejecutarlo el archivo modificado me saltaba el antivirus con lo cual tambien tuve que hacer un encryptador y un stub para leer el archivo cifrado mediante run PE

al estar sin ejecucion solo archivado en el disco duro no detecta nada cuando pasa el escaneo del antivirus u cuando se hace manualmente.

pero cuando voy a ejecutarlo se pone un mensaje que es un programa sospechoso y tarda unos segundos en analizar pero que todavia no lo ha ejecutado y salta un mensaje de es un malware.

me tuve que poner windows para poder usar el visual studio 2010 express ya que en linux y wine no podia emularlo me consumia muchos recursos.

es una decepcion despues de tanto esfuerzo para hacer un programa corriente con la fuente de un malware.

alguien me podria indicar como podria quitar esos mensajes del antivirus o evitar el escaneo al ejecutarlo sin hacer nada al antivirus?

Antivrus - > Avast
Cortafuegos - > Comodo
Sistema Operativo -> Windows 7
Lenguaje de Programacion - > C++ .NET

gracias
En línea

no subestimar al mas debil ya que tendra otras experiencias
burbu_1

Desconectado Desconectado

Mensajes: 159


hamen gaoz


Ver Perfil
Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
« Respuesta #1 en: 6 Enero 2013, 20:40 »

el autosandbox de avast?  :xD
es una movida.... si lees el mensajito te dice el motivo de analizarlo (escudo de archivos/avanzado/autosandbox) y el tiempo que lo ejecuta en la autosandbox (incluidos sleeps)

comentan que con una firma digital se evita la baja reputación.... pero no tiene mucho sentido firmar un malware  :laugh:
En línea

0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
« Respuesta #2 en: 6 Enero 2013, 21:17 »

pero no tiene mucho sentido firmar un malware  :laugh:

Si asi tiene menos rango de deteccion...  ;)
En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
ahaugas

Desconectado Desconectado

Mensajes: 70



Ver Perfil
Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
« Respuesta #3 en: 6 Enero 2013, 23:54 »

ok

se podria hacer algo como....:
¿si esta en un sandbox de un av que no lo ejecute o que ejecute otra cosa? porque no solo es avast si no tambien gdata, o aumentar el tiempo del sleep aunque es una muy mala idea ya que pueden tener tambien el escaner de comportamiento.

he pensado en un certificado digital pero no me convenció la idea al principio y si no queda otra pues lo tendre que hacer si no hay mas ideas.

gracias
En línea

no subestimar al mas debil ya que tendra otras experiencias
Karcrack


Desconectado Desconectado

Mensajes: 2.419


Se siente observado ¬¬'


Ver Perfil
Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
« Respuesta #4 en: 7 Enero 2013, 07:21 »

Si la detección te salta por el sandbox lo que debes hacer es hacer saltar el timeout del mismo.

Teniendo en cuenta que los AVs hace tiempo que emulan Sleep() y derivados te sugiero que te crees un hash y crackees antes de hacer cualquier cosa con el código. Eso mantendrá al proceso ocupado lo suficiente para que al AV se canse de emularlo.
En línea

ahaugas

Desconectado Desconectado

Mensajes: 70



Ver Perfil
Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
« Respuesta #5 en: 7 Enero 2013, 14:48 »

lo que he hecho por ahora es implementar anti emuladores de sandbox, anti debbugers, anti dessemblers y anti maquinas virtuales y por ahora parece que no me lo pone en la sandbox tambien he aumentado el sleep() de 3000 a 5000 y seria ver si en mi maquina ejecutarlo en modo administrador salta el aviso o no, pero por ahora parece que va bien.
En línea

no subestimar al mas debil ya que tendra otras experiencias
ahaugas

Desconectado Desconectado

Mensajes: 70



Ver Perfil
Re: Como evitar o suprimir el escaneo al ejecutar el archivo?
« Respuesta #6 en: 7 Enero 2013, 22:09 »

bueno esto ya esta resuelto,
tal y como dije las medidas de seguridad que he implementado al código funcionan de maravilla aparte de cambiar las rutas de acceso.

tanto en windows xp como windows 7 la ejecucion normal tampoco pide permiso para ejecutarlo luego automaticamente se une al proceso del stub el archivo que esta dentro del stub y coge permisos administrativos saltandose la seguridad uac.

seguire haciendo la otra parte del programa que es la de cargar modulos si no existen... tipo radia y software manager de hp.

bueno gracias
En línea

no subestimar al mas debil ya que tendra otras experiencias
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines