elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Evadir emulacion de AVs.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Evadir emulacion de AVs.  (Leído 12,955 veces)
The Swash

Desconectado Desconectado

Mensajes: 194


Programmer


Ver Perfil WWW
Re: Evadir emulacion de AVs.
« Respuesta #10 en: 3 Agosto 2012, 20:41 pm »

Hola,

@APOKLIPTICO, ¿podrías especificar el motor sobre el cual quiere pasar la emulación?
Y hago referencia al emulador sobre el que quiere pasar ya que son bastante diferentes y cada uno puede emular distintas cosas, parsear opcodes que no soportan, etc.

Un saludo,
Iván Portilla.
En línea

APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Evadir emulacion de AVs.
« Respuesta #11 en: 7 Agosto 2012, 02:59 am »

El de Symantec por ejemplo.
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Evadir emulacion de AVs.
« Respuesta #12 en: 15 Agosto 2012, 19:15 pm »

Una lectura muy interesante que me compartió [Zero]:
Código:
http://computervirus.uw.hu/ch11.html
En línea

Karman


Desconectado Desconectado

Mensajes: 673



Ver Perfil WWW
Re: Evadir emulacion de AVs.
« Respuesta #13 en: 31 Agosto 2012, 03:15 am »

virtualización manual: http://www.codigofuente.tk/index.php?topic=5272.msg7603#msg7603

y no hay emulación que funque :P

S2

PD: la idea no es virtualizar todo, pero si partes críticas :P
« Última modificación: 25 Abril 2015, 00:28 am por Karman » En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Evadir emulacion de AVs.
« Respuesta #14 en: 31 Agosto 2012, 19:08 pm »

Vaya Karman, pedazo de código. Virtualizar código es algo que está en otro nivel :laugh: además añadir soporte a las instrucciones necesarias puede llegar a ser un quebradero de cabeza. Sin duda un trabajo increíble :D
En línea

0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Evadir emulacion de AVs.
« Respuesta #15 en: 31 Agosto 2012, 22:30 pm »

Que proposito tiene la virtualizacion de codigo?
En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Evadir emulacion de AVs.
« Respuesta #16 en: 5 Septiembre 2012, 01:03 am »

Evade heurística, pero dudo que evada emulación...
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Newhack32

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Evadir emulacion de AVs.
« Respuesta #17 en: 5 Octubre 2012, 23:22 pm »

Tal y como aclara mDrinky me refería a que en el propio nombre que le da el AV a la detección suele suele incluirse esa información. Por ejemplo el "Heur" que añaden en algunos tags que viene de heurística, obviamente.

Como apunta zu-zu los emuladores de los AVs no son estúpidos y hay ciertas acciones que obvian por su poca relevancia en el flujo de ejecución de la aplicación (como los sleeps). Pero hay muchas otras formas de redireccionar el flujo de la aplicación u obfuscarlo, como por ejemplo usando handlers personalizados para errores que generes.

Como dato añado que había una forma de saber si estabas siendo emulado dentro del Kaspersky (si no recuerdo mal) que era haciendo un gethostbyname() y obteniendo el error generado, ya que para evitar conexión a internet se emulaban las llamadas a las APIs de WS y devolvía un error incorrecto.

Lo importante es que los emuladores van mejorando, ya sea obviando sleeps o reparando errores que ellos mismos hacen... eso sí, el NOD32 lleva más de 6 años petando con una instrucción de FPU que no emula correctamente:
Código
  1. pminsw xmm0,xmm1
Con esa instrucción cualquier aplicación detectada por NOD32 se vuelve invisible :laugh: :laugh:
y como meteria ese code con olly  :huh:
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
emulacion de GTA3 con PCSX2
Juegos y Consolas
cortex 0 1,554 Último mensaje 1 Febrero 2005, 06:46 am
por cortex
emulacion en ps2??
Juegos y Consolas
thehiphapper 0 2,971 Último mensaje 2 Mayo 2005, 01:17 am
por thehiphapper
Emulación de juegos.
Juegos y Consolas
Randomize 0 26,269 Último mensaje 1 Mayo 2008, 12:05 pm
por Randomize
emulación de un hasp usb
Juegos y Consolas
JAMOFE2005 3 5,354 Último mensaje 5 Diciembre 2009, 16:18 pm
por Alamasy
EMULACION DE DATOS DE RED
Dudas Generales
Fimosin 0 2,039 Último mensaje 6 Febrero 2012, 11:38 am
por Fimosin
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines