Hola, estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox. ¿que tecnicas son necesarias?

He puesto en practica los métodos de avfucker y dsplit para quitar las firmas, pero ahora tengo problemas con la heurística y con la emulación del malware.

Me pilla el AVG al iniciar el RAT al arranque.

Si me podéis echar una mano os lo agradezco ya que estoy perdido en esto.

Si, pero me refiero a que una vez agregado al registro, al reiniciar el sistema lo detecta al arranque.
Pero me interesan saber saltar ambas cosas y saber que necesitaría aprender para hacerlo.

No tenia ni idea de lo que era el formato PE, he estado leyendo el tutorial de swash y bueno he entendido lo que he podido ya que tampoco se nada de ASM.

¿Como puedo realizar un dump del PE?

y ¿por donde me recomiendas empezar? o ¿que conocimientos básicos necesito para hacerlo?

Muchas gracias 

No puedes saltarte la detección por comportamiento. Lo único que puedes hacer es no ejecutarte si detectas una sandbox.

No, no es posible. Cualquier acción maliciosa que realices será interceptada y analizada y contra eso no puedes hacer nada salvo detectar que tu programa está siendo analizado y abortar la ejecución.

Si me quieres llevar la contraria y desmentir lo que digo, pues programas un malware que haga lo que tú dices que es posible.

Yo no sé qué habrás programado tú, pero yo he programado un "malware behavior analyzer" y sé de lo que hablo.

El movimiento se demuestra andando, Karcrack. 

Para empezar tienes un error de concepto porque confundes la sandbox con el software de análisis de comportamiento. Son dos cosas diferentes. Solo en el caso del Norman Sandbox Analyzer eso sería correcto, pero es la excepción que confirma la regla. El resto son dos cosas separadas: por un lado estaría la sandbox, que en la inmensa mayoría de los casos es una máquina virtual (Buster Sandbox Analyzer es el único además del Norman que no usa una máquina virtual como framework para el análisis) y por otro el software de análisis de comportamiento.

Por ejemplo: Sandbox -> máquina virtual (VMWare, VirtualBox, ...).  Software de análisis de comportamiento: Cuckoo (programado en Python)

Ya me dirás qué fallos de diseño tiene el VMWare o el VirtualBox que puedan ser aprovechados para que las aplicaciones que hacen análisis de comportamiento sobre ellas no sean capaces de analizar correctamente. Sí, claro, en teoría todo software puede tener fallos, pero a mí solo me vale la práctica.

Dices: "como ejemplo te pongo un par de bugs que han habido en "Sandboxie".  Pues ya me dirás dónde los has puesto porque yo no los veo. 

Y no, no se trata de ver quien la tiene más grande. Se trata de no confundir a las personas que vienen al foro a por información. Las cosas son como son hasta que alguien demuestra lo contrario, y de momento nadie en el mundo ha demostrado que se pueda burlar el análisis por comportamiento si no es haciendo lo que ya he dicho: detectar que se está ejecutando bajo un entorno de análisis y abortar la ejecución.