elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Sigilo		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Sigilo  (Leído 3,497 veces)
morfismo

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Sigilo
« en: 14 Septiembre 2010, 17:01 pm »
Buenas tardes,

¿Sabrían ustedes cómo lograr que las llamadas a las APIS( de Windows), efectuadas por un virus, no fuesen detectadas por el sistema de monitorización de un  antivirus?

Gracias
En línea
bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Sigilo
« Respuesta #1 en: 14 Septiembre 2010, 17:05 pm »
depende cuales y que antivirus.
En línea
morfismo

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: Sigilo
« Respuesta #2 en: 14 Septiembre 2010, 17:27 pm »
¿No es posible conseguirlo en general?
En línea
bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Sigilo
« Respuesta #3 en: 14 Septiembre 2010, 19:09 pm »
no creo, por lo general suelen saltar por unas pocas, las demas pueden pasar por el pero no lanzar advertencia alguna.
En línea
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Sigilo
« Respuesta #4 en: 14 Septiembre 2010, 20:20 pm »
Pues supongo que cuando te refieres a: "el sistema de monitorización de un  antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...
En línea
morfismo

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: Sigilo
« Respuesta #5 en: 16 Septiembre 2010, 14:52 pm »
Gracias
En línea
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Sigilo
« Respuesta #6 en: 20 Septiembre 2010, 13:41 pm »
Cita de: Karcrack en 14 Septiembre 2010, 20:20 pm
Pues supongo que cuando te refieres a: "el sistema de monitorización de un  antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...

O esto o sacar la dirección inicial de la api sin hookear y asignartela a tu funcion, luego llamarla como la llamabas anteriormente. Asi te evitas pasar por la SSDT, que es donde estan los hooks  ;)

Un Saludo  :)
En línea
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines