Título: Sigilo Publicado por: morfismo en 14 Septiembre 2010, 17:01 pm Buenas tardes,
¿Sabrían ustedes cómo lograr que las llamadas a las APIS( de Windows), efectuadas por un virus, no fuesen detectadas por el sistema de monitorización de un antivirus? Gracias Título: Re: Sigilo Publicado por: bizco en 14 Septiembre 2010, 17:05 pm depende cuales y que antivirus.
Título: Re: Sigilo Publicado por: morfismo en 14 Septiembre 2010, 17:27 pm ¿No es posible conseguirlo en general?
Título: Re: Sigilo Publicado por: bizco en 14 Septiembre 2010, 19:09 pm no creo, por lo general suelen saltar por unas pocas, las demas pueden pasar por el pero no lanzar advertencia alguna.
Título: Re: Sigilo Publicado por: Karcrack en 14 Septiembre 2010, 20:20 pm Pues supongo que cuando te refieres a: "el sistema de monitorización de un antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...
Título: Re: Sigilo Publicado por: morfismo en 16 Septiembre 2010, 14:52 pm Gracias
Título: Re: Sigilo Publicado por: Hendrix en 20 Septiembre 2010, 13:41 pm Pues supongo que cuando te refieres a: "el sistema de monitorización de un antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones... O esto o sacar la dirección inicial de la api sin hookear y asignartela a tu funcion, luego llamarla como la llamabas anteriormente. Asi te evitas pasar por la SSDT, que es donde estan los hooks ;) Un Saludo :) |