|
Título: Duda de como evadir un antivirus Publicado por: N3Tw0lf en 2 Junio 2011, 23:53 pm Hola muy buenas gente. Bueno voy al punto termine un keylogger que estaba bueno no hace la gran cosa es lo que hace un keylogger normal :p lo hice en delphi y le puse sockets y timers para poder transferir el log tanto en tiempo real como en pasarlo directamente como un archivo. Bueno lo que hace ni bien se ejecuta es buscar si existen las carpetas de los AV Nod, AVG y Kapersky y segun cual encuentre se copia al system32 y se renombra con el nombre del ejecutable del AV que encuentra ,esto lo hice para usuarios incautos que aunque tengan un firewall dejen pasar ellos mismos la conexion con mi keylogger por solo tener el nombre de su mismo AV aunque lamentablemente no puedo camuflar mi ip y el puerto que uso ,y se espera unos x milisegundos para empezar a hacer peticiones en busqueda de mi cliente , cabe decir que el tipo de conexion es inversa, y obiamente se copia al registro de windows con el nombre del AV que encuentre para ejecutarse todas las veces que se inicie el pc bueno a lo que voy es que tengo el AVG y ya me lo detecta como una aplicacion dañina supongo que es por la euristica del antivirus y bueno despues de este desarrollo alguien conoce un metodo de hacer que un malware se ejecute cada vez que se inicia windows sin la necesidad de copiarlo al registro? por que creo si no me equivoco que parte de esa euristica de los AV es ver si una aplicacion se copia a una carpeta de windows y si se copia al registro.
Bueno eso es todo Gracias Salud y exitos. Título: Re: Duda de como evadir un antivirus Publicado por: R007h en 11 Junio 2011, 06:55 am lo podes instalar como un servicio de windows... o en la carpeta de los drivers...
en cuanto a lo del antivirus fijate con msfencode... o msfvenom.. Salu2 Título: Re: Duda de como evadir un antivirus Publicado por: Hakr en 14 Junio 2011, 00:27 am podrias instalarlo en la carpeta de menu inicio, en todos los programas. muchos menosprecian eso. tambien podrias obfuscar el codigo y enllavarlo con un antidebuger para que sea mas dificil de detectar.
Título: Re: Duda de como evadir un antivirus Publicado por: tragantras en 14 Junio 2011, 14:22 pm jaja otra vez me quitó Hakr la respuesta de la boca, añádelo a la carpeta de inicio, es muy lammer, pero bueno, funciona! (recuerda ocultar el archivo o aparecerá en el propio menú jaja)
respecto a la heurística, me juego el cuello a que (además del registro) es un tema del "logging" de las teclas, qué api utilizas? Si eres capaz de engancharte a algun proceso (hooking) en vez de tomarlas de la api del SO casi mejor! un saludo! Título: Re: Duda de como evadir un antivirus Publicado por: Hakr en 15 Junio 2011, 19:02 pm jaja otra vez me quitó Hakr la respuesta de la boca, añádelo a la carpeta de inicio, es muy lammer, pero bueno, funciona! (recuerda ocultar el archivo o aparecerá en el propio menú jaja) respecto a la heurística, me juego el cuello a que (además del registro) es un tema del "logging" de las teclas, qué api utilizas? Si eres capaz de engancharte a algun proceso (hooking) en vez de tomarlas de la api del SO casi mejor! un saludo! jaja lo siento tragantras :xD Título: Re: Duda de como evadir un antivirus Publicado por: .:UND3R:. en 16 Junio 2011, 08:35 am :silbar: Podrías partir ofuscando el código hacerlo de alguna manera menos intendible, usa compresores y busca la firma digital detectada por tus antivirus de tu keylogger y edítalas con un editor hexadecimal, y lo de las apis son muy sospechosas
Saludos |