Foro de elhacker.net

Bueno, acá molestando otra vez..

Ustedes creen que sea posible agregar un programa a la lista de exclusiones del AV con código? Digo yo, en algún lugar se debe guardar esa lista, probablemente cifrada, pero si suponemos ejecutar un código que burle la 1º seguridad del AV, y agregue ciertos programas a la lista,, esos podrían hacer mayores cosas,, no?

Saludos!

Lo más lógico es que estén hookeados los accesos a la rama del registro/fichero dónde esté esa configuración... Sería una sorpresa descubrir que no lo hacen.

Se podría debuggear no? Agrego uno a la lista cuando sale la ventanita que pregunta que quiero hacer (Baúl o agregar a excepciones) y ver que pasa.. no? deben tener alguna seguridad anti debugger, supongo..

Saludos!

Es más fácil todavía. Tan sólo crea una imagen del sistema (con RegShot por ejemplo) antes y después de añadir un fichero/carpeta a la lista de exclusión. Así podrás ver dónde se almacena e intentar tu editarlo manualmente. Si puedes avisa :P

Procmon es mejor:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Monitoreo en tiempo de ejecución.

Bueno, me gusto el reto.. lo voy a intentar de las dos formas si es necesario,, con Procmon parece ser mas sencillo, pero por si las dudas,, si creo las imagenes del disco, cual seria el mejor metodo para compararlas? Tiene pinta de llevar mucho tiempo/trabajo eso jeje igual, lo puedo intentar.. pero,, con las herramientas adecuadas, el trabajo es mas sencillo  ;D

Con RegShot la comparación es automática.

---

Procmon es detectable por ser en tiempo de ejecución. Con RegShot no alteras el proceso del AV, así que no tendrás problemas si el AV comprueba si alguien intercepta sus llamadas.

En un rato me pongo a investigar, despues les cuento  ::)

EDITO: El ejecutable que me hacia saltar la alarma del Avast no hace saltar la alarma en la pc de casa, pero si en la del trabajo.. Ambos son Avast, es mas, el de casa es mas nuevo, sera que detecta que el programa no es malicioso en realidad? Digo, hacer una inyeccion no tiene que ser algo malo siempre, no? Bueno, veo si hago otro ejecutable que haga que salte la alarma o dejo para el lunes en la pc del trabajo..

Saludos!

Que estas hablando? Acaso lo haz comprobado por ti mismo para decir algo como eso? Procmon no es bloqueado por antivirus, el ejecutable y el driver estan firmados por Microsoft. De lo contrario indicá qué Antivirus esta bloqueando o detectando eso de dices que hacen.

entonces....no se puede???? :silbar: :silbar: :silbar:

estaría bien eso de los retos en esta sección......

Yo no probé aun, pero lo voy a intentar.. resulta que tengo 2 versiones de avast instaladas,, una en la pc del trabajo y la otra en casa, en la versión del trabajo me salta la ventana de "enviar al baúl o permitir" al inyectar una dll en cualquier proceso, y en la de casa no. El lunes voy a empezar a hacer pruebas, a ver si es tan complicado..

Saludos!!

PD: Lo bueno de mi trabajo es que tengo 8 maquinas a mi disposición, y programo 8 hs por día..  ::)

Creo que no entendiste mi comentario... Sólo dije que RegShot es mejor ya que no es posible detectarlo. Imagino que en eso estás de acuerdo conmigo...

---

Actualiza a la última versión para tener pruebas consistentes :rolleyes:

Suerte! :-*

Ocultarlo de programas Anti-Virus? Porqué alguíen querría ocultar Procmon de Anti-Virus?
Estamos hablando de filtrar datos de Anti-virus no de Malware.

Sencillamente digo que Procmon es mucho más intrusivo que RegShot (u otros analizadores en frío). En caso de que el AV hiciese comprobaciones (no lo he comprobado pero me parecería lógico) RegShot no deja rastro.

No desviemos más el tema con esto.

Chicos, ya fue.. lo importante es descubrir si se puede, hoy voy a hacer pruebas con el ultimo Avast, aunque no recuerdo haber visto la ventana famosa de "meter al baúl o permitir", por lo general el Avast me borra de una los "ejecutables maliciosos", de no tener esa opción, ya no hay punto de discusión.. Simplemente seria imposible, jeje
voy a tener que hacer un programa primero que me lleve a la ventana de "permitir programa", y después empezar las pruebas  :silbar:

edit:
respondi algo que no era ._.

Esta seria la ventana para agregar un ejecutable para que no se analice con SandBox, ahí se podría intentar agregar un ejecutable,..

(http://i1366.photobucket.com/albums/r769/Vaagish1/Av_zpsb58d0ff5.png) (http://s1366.photobucket.com/user/Vaagish1/media/Av_zpsb58d0ff5.png.html)

Y esta otra es la ventana para agregar un archivo a la exclusiones en general, este archivo no se analizara, o todos los archivos con X extensión, si podemos modificar el comportamiento del antivirus desde modo usuario (Cosa que dudo mucho), podríamos encontrar un fallo grave de seguridad..

(http://i1366.photobucket.com/albums/r769/Vaagish1/Av2_zps33c61b6a.png) (http://s1366.photobucket.com/user/Vaagish1/media/Av2_zps33c61b6a.png.html)

Saludos!!

---

---

Amigos! Encontré la ruta!!!  (No fue muy complicado, para ser sincero..) ahora hay que ver si se puede escribir.. si todo sale bien, subo un código que haga todo automático..


Y comprobado, al excluir un directorio del análisis, ni siquiera se comprueba con SandBox, o sea que.. si se puede escribir en ese archivo, se podría escalar a algo mejor, el antivirus no lo analizaría..

Saludos!

Con RegShot seguro que fue fácil >:D :¬¬

¿Está en el registro de Windows? De ser así espero que esté en HKLM :P Aunque en Windows XP los privilegios de administrador no serán un problema jaja

Si, una pasada.. es un INI el que guarda la información,, y ahora mismo me esta dando problemas, "Asegúrese de que el archivo no esta abierto por otra aplicación" (No podía ser tan fácil)

El archivo esta en All Users\Datos de programa\AVAST Software\Avast\FileSystemShield.ini


Por lo que veo, las opciones de configuración están separadas en "módulos" (Diferentes archivos ini) Estos serian: NetworkShield, WebShield, IMShield, ScriptShield, EmailShield,, cada uno corresponde a cada modulo de seguridad del AV.

Ya por hoy, tengo que dejar la investigación.. pero mañana le doy palo jejeje

Saludos! y Gracias!

Vas a tener que sufrir un poco jaja
Para empezar tendrás que averiguar que proceso posee el handle al fichero: http://technet.microsoft.com/en-us/sysinternals/bb896655 o http://technet.microsoft.com/es-es/sysinternals/bb896653
Después tendrás que cerrarlo...

Todo esto, por cierto, requerirá privilegios de administrador...

EDIT: AvastSvc.exe es el dueño del fichero :-*

  ;-)

Geniall!! jeje ya habia bajado "handle" pero no lo probe mucho..

Gracias, voy a ver como se puede arreglar  >:D

Para cerrar el handle necesitarás duplicarlo usando DuplicateHandle() con DUPLICATE_CLOSE_SOURCE y luego cerrarlo con CloseHandle()...

Aquí tienes también como enumerarlos para encontrar el adecuado:
http://forum.sysinternals.com/howto-enumerate-handles_topic18892.html

Pásalo bien ;D

Si tengo un rato en el trabajo le meto a eso, pero me parece que va a ser difícil hoy  :rolleyes:

Gracias! Veremos que depara el destino  :xD

---

Actualización: Bueno gente, hoy pude dedicarle un poco de tiempo otra vez.. pero ahora me propuse hacer lo mismo en AVG y en Avast al mismo tiempo, (en casa tengo la ultima versión de Avast y en el trabajo la ultima versión de AVG)

Con respecto a Avast, conseguí saber donde se guardaban las rutas a los archivos exonerados de escaneo, con AVG, creo que también, pero no estoy seguro.. es un archivo que se llama "exceptions.dat", el problema es que este si esta codificado (o al menos no lo puedo abrir como un archivo de texto..)

Voy a probar abrirlo con un programa (que voy a tener que hacer) en modo binario, la pregunta es si valdrá la pena, o si hay algún programa que pueda abrir el archivo .dat, (igual no es complicado hacer el programa que lea el archivo en c++).
Bueno, quería dejar la info que voy rescatando.. se aceptan sugerencias!

Saludos!