elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: 4n4lDetector v1.3: herramienta de análisis estático de malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Métodos de evasión de firmas antivirus @enelpc
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Métodos de evasión de firmas antivirus @enelpc  (Leído 3,073 veces)
4n0nym0us

Desconectado Desconectado

Mensajes: 20



Ver Perfil WWW
Métodos de evasión de firmas antivirus @enelpc
« en: 9 Julio 2015, 21:32 »

Quería dejar una pequeña lista que recolectase los métodos genéricos de evasión de firmas antivirus, los cuales he estado escribiendo hasta la fecha. Me gustaría seguir aumentando esta lista, con lo que seguiré actualizando este post con los escritos que vaya realizando en mi blog.

Si tienen ideas para nuevas metodologías con el fin de lograr la evasión de motores antivirus, hablen conmigo y trataré de probarlas y redactarlas. Un saludo y muchas gracias amigos :D

Método RIT
Con este método de evasión antivirus aprenderás a cómo realizar migraciones de funciones a otros huecos en ensamblador.
http://goo.gl/CDgIYI

Método DAFE
Este método de evasión antivirus consiste en llevar a cabo la copia de las librerías del sistema operativo, para modificar el nombre real de las mismas por otro nombre para que el malware se comunique con ellas.
http://goo.gl/d3ogMh

Método DAFE-GUI
Esta se trata de dos herramientas desarrolladas por Osnaraus y Metal_Kingdom, encargadas de llevar a cabo el método DAFE de manera automatizada.
http://goo.gl/G6yTnb

Método Papelera
Un método muy utilizado por el malware USB, en el cual se explica como una simple carpeta es capaz de adoptar la apariencia de una papelera de reciclaje del sistema.
http://goo.gl/36u1XI

Método Mmove
El siguiente método explica cómo realizar migraciones de los nombres de las librerías y APIs que contiene la Import Table, a otros huecos dentro de un ejecutable.
http://goo.gl/cQ7OMs

Cifrar malware a mano
Este método te enseñará a insertar una rutina de cifrado para modificar el aspecto de las secciones ejecutables de un binario. Puede ser utilizado de forma sencilla con los métodos XOR y ROR/ROL, o de forma más compleja como se explica en el blog.
http://goo.gl/GMfw9o

Evasión de motores heurísticos
En la siguiente entrada se muestra un método muy similar al método RIT, pero enfocado a la migración de funciones de una API o APIs completas.
http://goo.gl/B1NVYV

Mover el Entry Point
El siguiente POST explica como realizar debidamente una migración del punto de entrada de un ejecutable.
http://goo.gl/7ktXd9

Evasión de firmas condicionales
La siguiente entrada explica de forma detallada, cómo los antivirus utilizan ciertas formas genéricas para detectar familias de malware. Estas firmas exigen un número de condiciones para dar por válida la detección de un binario, con lo que modificando su lógica será posible realizar la evasión.
http://goo.gl/V7er6G

Evasión de antivirus desde código fuente
La siguiente entrada muestra la creación de un Crypter en Visual Basic 6, utilizando una de las shellcodes más conocidas como RunPE y teniendo en cuenta la detección por parte de los diferentes motores antivirus.
http://goo.gl/4x1Xo6

 :P
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Orb

Desconectado Desconectado

Mensajes: 81


Ver Perfil
Re: Métodos de evasión de firmas antivirus @enelpc
« Respuesta #1 en: 9 Julio 2015, 21:40 »

Los enlaces de descargaproporcionados en el blog corresponden a la teoría expuesta en formato pdf u otro¿

Saludos y buen trabajo :)
En línea

4n0nym0us

Desconectado Desconectado

Mensajes: 20



Ver Perfil WWW
Re: Métodos de evasión de firmas antivirus @enelpc
« Respuesta #2 en: 9 Julio 2015, 21:58 »

Normalmente se tratan de binarios de ejemplo.
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: Métodos de evasión de firmas antivirus @enelpc
« Respuesta #3 en: 10 Julio 2015, 14:26 »

Excelente aporte compañero, una introducción de los enlaces precisas, saludos y por favor sigue documentando lo que vayas encontrando, saludos.
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
4n0nym0us

Desconectado Desconectado

Mensajes: 20



Ver Perfil WWW
Re: Métodos de evasión de firmas antivirus @enelpc
« Respuesta #4 en: 28 Noviembre 2015, 00:28 »

Actualizo:

Antivirus K.O. Ordinal Numbers vs API Names
Modificación sobre el nombre de las APIs declaradas en un binario, utilizando en su defecto llamadas a las mismas mediante su número ordinal.
http://goo.gl/gpBiM5
En línea

No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines