Ten en cuenta que hay antivirus que detectan aplicaciones legítimas solo por usar un crypter.

No te vayas a ofuscar tú cuando lo que tienes que ofuscar es el código. 

Añade cifrado. Puedes usar un packer o una combinación de varios o puedes usar una librería de compresión modificada como pueda ser LZMAT: http://www.matcode.com/lzmat.htm

Edito: ¿Por qué cada vez que quiero escribir "en crip ta cion" el foro me cambia la palabra por cifrado?

Pues prueba añadiendo cifrado a tu código.

¿Indetectable para qué software? ¿Solo para un antivirus o para cualquier herramienta de detección de código malicioso?

Que se sepa, ni tú ni nadie. Por ejemplo la última vulnerabilidad conocida en el Sandboxie fue descubierta en el 2010. Da la casualidad de que la encontré yo mientras analizaba malwares. Desde entonces nadie ha sido capaz de crear un malware o un POC capaz de escribir en el disco duro real desde dentro de la sandbox. Y no será porque gente muy cualificada no lo haya intentado. Solo hay que ver el análisis que le hizo el amigo Vallejo:

http://vallejo.cc/48


Pareces olvidar que VirtualBox, VMWare, Sandboxie... no es software que haya sido publicado hace dos días. Cuentan con años de desarrollo y han sido escrutados por verdaderos especialistas en ingeniería inversa. ¿Qué posibilidades reales existen de que a estas alturas exista alguna forma de poder saltarse una máquina virtual o una sandbox y realizar acciones directamente en el host?

Hablas de elevación de privilegios. ¿De qué te sirve la elevación de privilegios dentro de una máquina virtual? ¿De qué te sirve la elevación de privilegios en un entorno controlado como es una sandbox donde ciertas acciones se restringen? Por ejemplo el Sandboxie no permite la ejecución de drivers dentro de la sandbox. Por muchos privilegios que eleves eso no te lo va a permitir hacer.


Veo que no acabas de entender que ya ha habido gente muy preparada que ha puesto esfuerzo y dedicación para saltarse el VMWare o el VirtualBox tratando de escribir en el host y no lo ha logrado.

Saludos.

Por cierto, que Tr0Y4N0 ha dicho "estoy iniciándome en el tema de indetectar malware, mi pregunta es si modeando se puede evitar que te pille la heurística y el sandbox" y a saber qué quiere decir con eso de que no le pille el sandbox. A saber qué se imagina él qué es la sandbox y cómo lo puede pillar.

Yo he supuesto que se refiere al análisis por comportamiento, pero a lo mejor él tiene otro concepto de lo que es una sandbox que puede pillar malwares.

El movimiento se demuestra andando, Karcrack. 

Para empezar tienes un error de concepto porque confundes la sandbox con el software de análisis de comportamiento. Son dos cosas diferentes. Solo en el caso del Norman Sandbox Analyzer eso sería correcto, pero es la excepción que confirma la regla. El resto son dos cosas separadas: por un lado estaría la sandbox, que en la inmensa mayoría de los casos es una máquina virtual (Buster Sandbox Analyzer es el único además del Norman que no usa una máquina virtual como framework para el análisis) y por otro el software de análisis de comportamiento.

Por ejemplo: Sandbox -> máquina virtual (VMWare, VirtualBox, ...).  Software de análisis de comportamiento: Cuckoo (programado en Python)

Ya me dirás qué fallos de diseño tiene el VMWare o el VirtualBox que puedan ser aprovechados para que las aplicaciones que hacen análisis de comportamiento sobre ellas no sean capaces de analizar correctamente. Sí, claro, en teoría todo software puede tener fallos, pero a mí solo me vale la práctica.

Dices: "como ejemplo te pongo un par de bugs que han habido en "Sandboxie".  Pues ya me dirás dónde los has puesto porque yo no los veo. 

Y no, no se trata de ver quien la tiene más grande. Se trata de no confundir a las personas que vienen al foro a por información. Las cosas son como son hasta que alguien demuestra lo contrario, y de momento nadie en el mundo ha demostrado que se pueda burlar el análisis por comportamiento si no es haciendo lo que ya he dicho: detectar que se está ejecutando bajo un entorno de análisis y abortar la ejecución.

El tema de la colisión en MD5 es antiquísimo. Lo menos tiene 7 años.

Yo te daré un consejo más práctico: familiarízate y aprende a usar las APIs de Windows, especialmente las relacionadas con ficheros, empezando por CreateFile, y las del registro.

SysAnalyzer es un proyecto muerto y acabado.

¿No conoces el Buster Sandbox Analyzer?

http://bsa.isoftware.nl/

Supongo que no, sino no recomendarías el SysAnalyzer.