Mostrar librerias cargadas en programa

Páginas: << < (5/10) > >>

xv0:

Vaya que interesante se esta poniedo todo esto, lastima que no este dentro de mi onda.

Cita de: Karcrack en 24 Abril 2014, 23:18 pm
--
@cpu2: Si lo hacía con lodsd doy por hecho que es para ahorra unos cuantos bytes...

--

Si no es una shellcode lo veo una tonteria ahorrarse esos 4 bytes, ya que con mi metodo es 1 OPS y con ese son 6 OPS, es una tonteria la verdad.

Vaya macros jajaja.

Un saludo.

Karcrack:

Cita de: cpu2 en 25 Abril 2014, 00:21 am
--
Si no es una shellcode lo veo una tonteria ahorrarse esos 4 bytes, ya que con mi metodo es 1 OPS y con ese son 6 OPS, es una tonteria la verdad.

--
Yo es principalmente en las shellcodes cuando doy más importancia al tamaño del payload que a los ciclos... Además no debe tener bytes nulos. (Al menos con la definición estricta que yo conozco de shellcode, es decir, no posicional y null-free)

Vaagish:

Citar
--
Hay mucho macro para generar constantes en tiempo de ensamblado. Si lo ensamblas verás que no hay cadenas de texto. Se generan los hashes y luego se comparan de la lista de librerías cargadas.
--

Eso no lo vi aun,, es muy buena estrategia! No he podido investigarlo bien (estoy en el trabajo, cada tanto me escapo un poco jeje)

Citar
--
Cuanto menos tiempo de kernel gaste el antivirus más fluido irá el sistema. Se intentan delegar las tareas menos cruciales a usermode por cuestiones de optimización. También un crasheo de la DLL (p.e intencionado para saltarse la protección :silbar:) estaría localizado en el proceso y no reventaría todo el motor del antivirus o el SO.
--

Claro,, tiene mucha lógica..  :rolleyes:  :P

Citar
--
Si quisieses hacer una detección genérica entrarían en juego muchos otros factores. Hay diferentes técnicas para detectar entornos virtualizados sin tener que hacer blacklisting. Por ejemplo utilizar instrucciones/llamadas que sepas que no siguen la ruta habitual y hacer comparaciones de tiempo. (Artículo al respecto)
--
+100! Descargado, guardado en lecturas urgentes jeeje

Citar
--
Vaya que interesante se esta poniedo todo esto, lastima que no este dentro de mi onda.
--

A mi en realidad lo que mas me gusta de windows es la posibilidad de hacer estas cosas..  >:D

Vaagish:

Por probar,, solo por el simple echo de probar que pasaba,, le di esta instruccion al programa:

Código
--
hLib db "snxhk.dll", 0
--
invoke FreeLibrary, addr hLib
--

Y.... se cierra el sandbox  :o

O sea,, en vez de mantenerlo un tiempo ahi,, a modo de prueba,,,, ta tannnn... se cierra y se ejecuta el code normalmente!

No es que haya descubierto algo,,, en realidad no hice nada extraño,,, pero me parece sumamente raro que se cierre enseguida el sandbox,, da la impresión que no lo mantiene en análisis... Que opinan?? Que creen que este pasando?

x64core:

Cita de: Karcrack en 24 Abril 2014, 23:18 pm
--
@x64Core: Yo voto por mí ;D ¿No has visto los últimos enlaces del tema?
El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones;
las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación
de privilegios local en la máquina invitado en VirtualBox y Windows XP :silbar:

--
Karcrack, El problema principal en el tema '¿Saltarse heuristicas y sandbox modeando?' fue la confusión de terminos
Si el Antivirus esta detectando el malware por heuristica es porque esta siendo emulado, VM y lo que se debe hacer
es detectar si el código esta siendo emulado además de cualquier posible VM. Lo mismo esta sucediendo aquí por
eso estoy de acuerdo con Buster.

Y Además noté que en tu código agregas guard32.dll/guard64.dll para supuesta detección de la sandbox pero
en ambos casos este o no el programa en la sandbox siempre será cargado lo unico que se conseguirá es que el
programa no se ejecute en ningun Windows que tenga instalado el Comodo, ese no es el punto no? Diras que los
hooks de modo usuario son la sandbox porque probablemente lo leiste en algun articulo o te equivocaste de nombre
del modulo?

Por eso el uso de sandbox en los Antivirus en la mayoria de los casos es decisión del usuario ya que la sandbox
de los Antivirus sólo restringen acciones maliciosas.

Y habria que aclarar antes de entrar en confusión como sucedio en el otro tema, Vagish quiere detectar si el
programa esta siendo analizado por el Antivirus sandbox/VM.

En el caso de Avast que tiene una sandbox y se logra detectar si el programa esta dentro pero eso no quiere decir que
el malware será indetectable, la sandbox de Avast tiene otro tipo de tarea como dije por eso el problema se
resuelve mediante la detección del emulación.

Agregado:
Noten la diferencia entre los programas como Sandboxie y el Analisis de Antivirus.

Páginas: << < (5/10) > >>