elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Evitar detección de anti virus.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 [4] 5 Ir Abajo Respuesta Imprimir
Autor Tema: Evitar detección de anti virus.  (Leído 16,600 veces)
0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #30 en: 2 Diciembre 2012, 12:31 pm »

@ferleg, antes de despreciar las rutinas de encriptacion de APOKLIPTICO te recomiendo dos cosas:

1) Pasarte por el area de Criptografia, en Seguridad.
2) Demostrarnos tu lo que eres capaz de hacer.

Saludos.
En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
ferleg

Desconectado Desconectado

Mensajes: 11



Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #31 en: 2 Diciembre 2012, 20:28 pm »

Para 0xDani:

De los códigos que yo haya hecho no te voy a decir nombres concretos. Tú puedes pensar lo que quieras. Pero en general tan sólo te digo que he hecho motores polimórficos, EPO, anti-debugging, ..., y todo precisamente en el área de la programación de virus-antivirus.

No creo que sea yo precisamente quien me tenga que pasar por ninguna área de criptografía, cuando me están intentando colar una rutina xor con una "seed" (vaya novedad) y un PRNG (Pseudo Random Number Generator) (vaya otra gran novedad), como compleja rutina de cifrado.

Os di un link de un artículo (lo siento no estaba en español, era en inglés), sobre cifrado de virus, y además cifrado de la buena y compleja, empleada en algunos de los virus más complejos en cuanto a cifrado se refiere: W32.Magistr, W95.Perenast, W32.Efish, etcs : polimórficos todos, alguno incluso metamórfico.

http://www.thehackademy.net/madchat/vxdevl/papers/avers/x-raying.pdf
 
Si me queréis decir que vuestro nivel en criptografía y vuestras rutinas de cifrado superan el de ese artículo, os felicito y me como mis palabras.


Para APOKLIPTICO:

De lo último que un AV va a mirar son los strings que estés utilizando. Y lo primero que va a mirar es tu código binario. Y es en ese código binario donde primero compara patrones (cadenas de malware conocidas), y después (si lo considera) aplica emulación.

Te quiero decir con esto que cifrar tus strings es muy poca medida contra un AV.
Por mucho que cifres tus strings (por ejemplo las APIs de las DLLs que utilices), en la emulación serán descifrados (tu propio virus las descifra para utilizarlas, por mucho que estén en la pila o en Hong-Kong ¿lo pillas?, y todo en tiempo de emulación AV sin que se ejecute realmente tu virus), y si tu código binario es sospechoso: (abrir ficheros, que sean ejecutables, manipular la memoria, ...), el AV saltará.

Si intentas cifrar/cifrar algo, que sea todo tu código en todo caso, no tanto sólo unos strings que haya en él.

Por cierto, sigues hablando de tu "virus", estoy confundido, por eso te pregunté: ¿un virus en C? ¿o sea que tu programa infecta otros programas?

También podrías empezar por definir qué hace tu virus: si infecta qué infecta, cómo se propaga, si es residente o de acción directa, ... Porque si resulta que no hace ni la mitad de lo anterior, pues normal que tan sólo cifrando unos strings no sea detectado como programa sospechoso.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.419


Se siente observado ¬¬'


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #32 en: 2 Diciembre 2012, 20:39 pm »

Esto se está saliendo del tema. Primer aviso.

La complejidad del cifrado no es tan importante. A los AVs les es más fácil detectar una rutina que haga un bucle de lectura/escritura que probar a crackear la contraseña que tengas en tu XOR.
Por otro lado los AVs buscan patrones a la hora de realizar llamadas. Ciertas APIs tienen parámetros muy particulares y es fácil "taggear" una combinación de pushes particular.

ferleg, APOKLIPTICO utiliza el término "virus" para referise a malware en general. Entiendo que sin replicación. Procura exponer tu opinión sin ofender y respetando al resto de participantes, sin importar tus conocimientos.
En línea

ferleg

Desconectado Desconectado

Mensajes: 11



Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #33 en: 2 Diciembre 2012, 21:10 pm »

No hace falta que me des más avisos. Me voy del foro, ya veo lo que hay aquí.

Si se me permite hacer dos últimos comentarios:

1.
Me dice burbu_1 que Panda de españoles lo justo.
Bueno, si tus opiniones sobre el tema virus-antivirus están tan fundadas como tu comentario... mejor no digo más.
Tan sólo esto: échale un vistazo, te vendrá bien actualizar tus conocimientos:
http://es.wikipedia.org/wiki/Panda_Security

2.
Karcrack: ¿utilizar la palabra virus para un código que no se replica? ¿virus para referirse a malware genérico? Pensé que aquí se hablaba con propiedad y conocimientos, dado que esto se supone es un sitio que se hace llamar "elhacker". Y segundo: ¿la complejidad del cifrado no es tan importante? Vale, vale... lo que tú digas. Aquí lo dejo.
En línea

ferleg

Desconectado Desconectado

Mensajes: 11



Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #34 en: 2 Diciembre 2012, 21:32 pm »

Lo último: perdonad si he sido hiriente o similar. No era esa mi intención.

Mi respeto sincero para todos. Un saludo.
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.419


Se siente observado ¬¬'


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #35 en: 2 Diciembre 2012, 22:42 pm »

Sigamos la conversación por privado si lo deseas, aunque veo que tus cualidades aquí se desaprovecharían. No podemos medirnos con tu capacidad y precisión lingüística. Comprenderé si deseas irte.

Cualquier otro mensaje fuera de tema será eliminado.
En línea

APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #36 en: 2 Diciembre 2012, 23:23 pm »

Aaanyways.
Cifrar los strings es más que nada una pequeña barrera a un antivirus que pueda llegar a buscar cadenas específicas en la sección data del ejecutable. También para un análisis manual ayuda. Aparte cifré también las APIs que utilizo que se cargan de forma dinámica, ya que he probado que linkeándolas estáticamente salta el anti-virus. Se que lo mejor sería un código que se automodifique, pero no tengo interés en hacerlo ya que no es necesario, siendo que mi Virus (es un worm con propagación por pipes y SMB, sin infección de ejecutables), no es detectado por la mayoría de los anti-virus (es detectado como sospechoso por el cloud de Symantec y la emulación de código del Kaspersky lo detecta como "sospechoso" y pregunta qué hacer).

En cuanto al cifrado, lo repito, todos los cifrados simétricos actuales se basan en un generador pseudoaleatorio o PRNG, que debe de ser uno apropiado para la criptografía, es decir que cumpla ciertas reglas. Algunos también tienen otros pasos, pero la base es esa, un PRNG que genera un flujo de datos para los cifrados de stream y los de bloque, utilizan en general una red de Feistel o variaciones de la misma. Pero siendo que el objetivo del cifrado es obfuscar los strings para evitar un posible análisis estático, cumple su función.
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
~

Desconectado Desconectado

Mensajes: 67



Ver Perfil WWW
Re: Evitar detección de anti virus.
« Respuesta #37 en: 3 Diciembre 2012, 00:27 am »

Por lo general, antes de cifrar se aplica algún tipo de compresión, para evitar evidenciar redundancias (y obtener mejor cifrado) y después se cifra.

Una opción simple de compresión podría ser LZW con un número no común de bits por bloque comprimido, o con alguna otra característica no estándar.

Otra opción menos simple pero más estándar y probablemente más detectable sin un buen cifrado, sería el algoritmo DEFLATE (el que se usa en los ZIP clásicos).

Y agregar código paso a paso para determinar qué es lo que activa la detección.
En línea

Sitio web (si la siguiente imagen no aparece es porque está offline):
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #38 en: 3 Diciembre 2012, 01:40 am »

Para qué habría de comprimir los strings?? No hace falta, es más que suficiente con el cifrado que apliqué. La realidad es que tampoco me interesa que los niveles de entropía sean tan altos. Prefiero que estén bajos así no se asume que hay compresión o cifrado.
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
APOKLIPTICO


Desconectado Desconectado

Mensajes: 3.871


Toys in the attic.


Ver Perfil
Re: Evitar detección de anti virus.
« Respuesta #39 en: 9 Diciembre 2012, 22:05 pm »

Buenas noticias: Logré que mi malware sea indetectable completamente excepto por el symantec, que ya lo voy a atacar, pero tengo que conseguirme una copia aunque sea de prueba.

Saludos y gracias!!
En línea

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
Páginas: 1 2 3 [4] 5 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Evitar las firmas genericas de los ANTI
Análisis y Diseño de Malware
Timerlux 5 3,146 Último mensaje 12 Febrero 2012, 18:41 pm
por Иōҳ
Ayuda código heuristico detección de virus
Programación Visual Basic
Criscr21 1 1,189 Último mensaje 23 Marzo 2013, 18:40 pm
por BlackM4ster
anti deteccion bat
Scripting
asdexiva 1 856 Último mensaje 6 Mayo 2014, 15:23 pm
por PedroDJavier
Nacen los anti-anti-adblock, o cómo evitar el bloqueo de ciertas páginas a ....
Noticias
wolfbcn 0 800 Último mensaje 11 Febrero 2016, 21:47 pm
por wolfbcn
Interpretación de resultados de una detección de virus
Seguridad
Drok3r 1 1,057 Último mensaje 24 Marzo 2017, 14:36 pm
por Randomize
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines