Autor
|
Tema: ¿Saltarse heuristicas y sandbox modeando? (Leído 29,172 veces)
|
ameise_1987
Desconectado
Mensajes: 119
|
Obviamente la ingeniería inversa suele ser la forma más empleada para buscar vulnerabilidades y exploits porque, sobre todo en software de seguridad, el código fuente no está disponible.
Lo que también es obvio es que es muchísimo más fácil encontrar defectos en el software si tienes el código fuente porque te ahorras toda la parte de la ingeniería inversa y te puedes centrar completamente en buscar los fallos de seguridad.
Si eres capaz de darme un argumento por el cual puedas concluir de forma lógica y razonada que la imaginación del que busca un fallo de seguridad en concreto en un software es mayor o mejor o como lo quieras llamar que la de la persona o personas que diseñaron y programaron el software para evitar que ese fallo exista, entonces te daré la razón.
¿Te parece justo?
1)bájate de la nube, que hallas echo una herramienta no te da el titulo de dios sabelo todo y que tiene la verdad absoluta, me importa un verdadero carajo si me das la razón, para mi no eres nada importante como para preocuparme por ello. 2)es cosa de ver cuanto software es parchado y en base a esa misma corrección aparecen nuevos fallos, no lo digo yo y repito que me importa un carajo lo que pienses(quizás a los demás intimidas con tu herramienta a mi no) lo dicen los grandes, es cosa de ver las ponencias de la defcon y leer a los grandes que llevan no 3 sino que toda su vida dedicado a la explotación de fallos.3)solo posteaba con el afán de realizar la corrección anterior echa, no me interesa discutir con el super programador de la super herramienta de detección de malware en base a heurística que kaspersky y nod32 se la pelean . saluos!!
|
|
|
En línea
|
firma retirada por insultar/cachondearse de (anelkaos) del staff.
|
|
|
burbu_1
Desconectado
Mensajes: 159
hamen gaoz
|
hola a todos, me imagino que monitorizar un proceso en un entorno virtual consumirá una gran cantidad de recursos, no? vamos que para un av comercial montorizar constantemente todos los procesos sería un suicidio por lo que he visto en algunos avs solo virtualizan el proceso la primera vez y después trabajan con listas blancas...
|
|
|
En línea
|
|
|
|
Buster_BSA
Desconectado
Mensajes: 138
|
me imagino que monitorizar un proceso en un entorno virtual consumirá una gran cantidad de recursos, no? Pues la verdad es que no muchos. Échale un vistazo al Capture-BAT. vamos que para un av comercial montorizar constantemente todos los procesos sería un suicidio Los HIPS es lo que hacen y no hay problema.
|
|
« Última modificación: 13 Enero 2013, 20:53 pm por Buster_BSA »
|
En línea
|
|
|
|
0xDani
Desconectado
Mensajes: 1.077
|
@ameise_1987, sigo pensando que te pasas un huevo, efectivamente que haya hecho una herramienta no lo hace un dios, pero desde luego que hace absurda tu afirmacion de que habla desde la ignorancia. A mi me parece que habla mas desde la ignorancia aquel que escribe en plan "Ola k ase" y diciendo que "le importa un carajo" lo que digan los demas.
Haz el favor de expresarte en terminos correctos, no sea que bloqueen el post por que tu eres el unico hasta ahora que se ha salido de tono.
@Buster_BSA, y una pieza de malware no puede hacerse pasar por un instalador de Firefox?
Ademas si metes cada aplicacion en un entorno controlado como va un instalador a efectuar la instalacion?
PD: Buster, se te ha colado "Héchale". Es sin h xD.
|
|
« Última modificación: 13 Enero 2013, 20:46 pm por 0xDani »
|
En línea
|
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!
I code for $$$ Hago trabajos en C/C++ Contactar por PM
|
|
|
Buster_BSA
Desconectado
Mensajes: 138
|
@Buster_BSA, y una pieza de malware no puede hacerse pasar por un instalador de Firefox? Claro, por supuesto, por eso es importante desde el punto de vista de un usuario el descargar software solo de repositorios o sitios web confiables, pero una cosa es hacerte pasar por un instalador del FireFox y otra que luego te pongas a hacer cosas raras como crear valores en ciertas claves del registro. Ademas si metes cada aplicacion en un entorno controlado como va un instalador a efectuar la instalacion? Cuckoo Sandbox ( http://www.cuckoosandbox.org/) utiliza una máquina virtual como entorno seguro para realizar los análisis. La instalación se efectuará de forma normal y sin ningún problema. PD: Buster, se te ha colado "Héchale". Es sin h xD.
Corregido, ¡gracias!
|
|
|
En línea
|
|
|
|
r32
|
ameise_1987 prueba a tomarte un tranquilizante . Se estaban exponiendo diferentes puntos de vista hasta que te lo tomaste como algo personal y entre comillas faltaste el respeto a Buster, creo no hacía falta. Si queremos que este tema siga adelante intentemos no llegar a tu extremo. No hagas una montaña de esto, saludos.
|
|
|
En línea
|
|
|
|
0xDani
Desconectado
Mensajes: 1.077
|
Entonces por ejemplo hacerse pasar por un instalador podria ser una forma de escribir en el host, la cuestion seria que no los archivos de la "instalacion" no sean detectados como maliciosos. Es algo que se me ocurre simplemente, al final hay que tener creatividad para encontrar el punto flaco.
Aun asi esta claro que es otro nivel de deteccion, pero claro que se encontrara la forma de saltarselo, como siempre se ha hecho, y todavia queda mucho para el antivirus que lo detecte absolutamente todo.
Es solamente mi opinion, pero en fin, el tiempo nos dara la razon.
Saludos.
|
|
|
En línea
|
I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!
I code for $$$ Hago trabajos en C/C++ Contactar por PM
|
|
|
Arkangel_0x7C5
Desconectado
Mensajes: 361
|
yo pienso que siempre habra alguna manera, porque tu puedes ser un super programador e imaginar un monton de formas de evitar que se salten tu proteccion. Pero el que se la salta solo necesita una forma para saltarselo. Siempre es mas facil destruir que construir Y como dicen por hay, arreglas una cosa y estropeas 2. un claro ejemplo es java que cada 2 por tres tiene un fallo critico.
Saludos
|
|
|
En línea
|
|
|
|
Buster_BSA
Desconectado
Mensajes: 138
|
Entonces por ejemplo hacerse pasar por un instalador podria ser una forma de escribir en el host No. Hacerse pasar por un instalador sería la forma de tratar de engañar al usuario. Cuando ese instalador se ejecuta y se analiza con un analizador del comportamiento el malware debería ser capaz de no levantar sospechas mientras se analiza.
|
|
|
En línea
|
|
|
|
Buster_BSA
Desconectado
Mensajes: 138
|
yo pienso que siempre habra alguna manera Incurres en el mismo error que los otros: el número de vulnerabilidades posibles para lograr realizar una acción es un número finito. Cuando ese número llega a 0 es imposible realizar esa acción. ¿Tan difícil es de entender?
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Los antivirus y sus "poderosas" heurísticas
Análisis y Diseño de Malware
|
[ANTRAX]
|
7
|
5,922
|
23 Junio 2010, 21:36 pm
por Debci
|
|
|
SandBox para Android
Noticias
|
wolfbcn
|
0
|
2,221
|
18 Julio 2011, 14:03 pm
por wolfbcn
|
|
|
Aplicaciones tipo Sandbox
Seguridad
|
Gambinoh
|
0
|
1,944
|
10 Junio 2015, 16:14 pm
por Gambinoh
|
|
|
Heuristicas Pathfinding
Java
|
obiderk7
|
0
|
1,881
|
30 Abril 2018, 19:55 pm
por obiderk7
|
|
|
Saltarse sandbox de navegador?
Desarrollo Web
|
@XSStringManolo
|
3
|
2,216
|
14 Octubre 2019, 01:41 am
por MinusFour
|
|