elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  [Source] IsAnubisPresent() - Sistema AntiAnubis SandBox
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [Source] IsAnubisPresent() - Sistema AntiAnubis SandBox  (Leído 6,724 veces)
Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
[Source] IsAnubisPresent() - Sistema AntiAnubis SandBox
« en: 27 Junio 2008, 23:17 pm »

Aquí vuelvo con una nueva función: IsAnubisPresent(). Dicha función permite de una forma muy rápida saber si nuestra aplicación se está ejecutando dentro de la SandBox de Anubis, permitiendo en tal caso terminar la ejecución del programa y evitar que nuestras funciones sean inspeccionadas por el usuario, pero antes...

¿Que es Anubis?

Anubis es un servicio gratuito que permite a un usuario enviar un fichero ejecutable para ser examinado de forma exhaustiva. Anubis es una aplicación con un front-end basado en Web, pero el back-end sigue tratándose de un simple PC con Windows instalado y una SandBox que recopila información de los ficheros enviados.

Anubis Web :http://anubis.iseclab.org/

¿Como funciona IsAnubisPresent()?

Bien, como ya se ha explicado, el back-end de este servicio es un Windows completo: con su registro, sus ficheros, sus variables de sistema, etc... mucha de esta información es única (por ejemplo el número de serie del HDD, el número de serie del ID de Windows, etc...) y con una simple comparación podemos saber si nuestro ejecutable esta siendo analizado desde ese Sistema Operativo en concreto

Vale, lo entiendo... pero ¿como has adivinado los números de serie del Windows de Anubis?

Bueno, la idea no es 100% mía. En internet circula un Source algo extenso y desordenado que recoge la información de una variable del registro para comparar el ProductId, viendo ese source se me ocurrió la idea de programar mi propio: Anubis-Dumper. Este programa recopila dicha información única del Sistema Operativo Windows de Anubis y genera carpetas en la raiz con los valores recopilados, con el único fin de mostrar dichos valores por el propio sistema de análisis de Anubis.

Aquí una captura del Anubis-Dumper que me permitió recopilar los datos



Una vez que tenemos los valores, solo he tenido que generar una sencilla función que haga las comprobaciones oportunas para detectar si el ejecutable se haya bajo el análisis de Anubis

Ole!, dejemonos de royos, donde está el source?

Aquí te dejo el source principal: Anti-Anubis

Código
  1. '''''''''''''''''''''''''''''''''''''''''''''''''''''''''
  2. ' Program:  Anti-Anubis 1.0
  3. ' Coder:    MadAntrax
  4. ' Web:      foro.elhacker.net
  5. ' Date:     27/06/08
  6. '
  7. ' Programa que detecta si nuestro malware
  8. ' se ejecuta en la SandBox de Anubis, permitiendo
  9. ' finalizar el proceso y evitar que inspeccionen nuestro
  10. ' malware :)
  11. '
  12. ' Original idea: http://hackhound.org
  13. '
  14. '''''''''''''''''''''''''''''''''''''''''''''''''''''''''
  15. Private Declare Function GetVolumeInformation Lib "kernel32.dll" Alias "GetVolumeInformationA" (ByVal lpRootPathName As String, ByVal lpVolumeNameBuffer As String, ByVal nVolumeNameSize As Integer, lpVolumeSerialNumber As Long, lpMaximumComponentLength As Long, lpFileSystemFlags As Long, ByVal lpFileSystemNameBuffer As String, ByVal nFileSystemNameSize As Long) As Long
  16.  
  17. Function IsAnubisPresent(ByVal OptionToCheck As Integer) As Boolean
  18.    On Error Resume Next
  19.    Set WShell = CreateObject("WScript.Shell")
  20.  
  21.    Select Case OptionToCheck
  22.        Case 1  'Recomendado
  23.            If GetSerialNumber(Environ("SystemDrive") & "\") = "1824245000" Then
  24.                IsAnubisPresent = True
  25.            Else
  26.                IsAnubisPresent = False
  27.            End If
  28.        Case 2  'Recomendado
  29.            If WShell.RedRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId") = "76487-337-8429955-22614" Then
  30.                IsAnubisPresent = True
  31.            Else
  32.                IsAnubisPresent = False
  33.            End If
  34.        Case 3  'No recomendado
  35.            If UCase(App.EXEName) = "SAMPLE" Then
  36.                IsAnubisPresent = True
  37.            Else
  38.                IsAnubisPresent = False
  39.            End If
  40.        Case 4  'No recomendado
  41.            If UCase(Environ("USERNAME")) = "USER" Then
  42.                IsAnubisPresent = True
  43.            Else
  44.                IsAnubisPresent = False
  45.            End If
  46.    End Select
  47. End Function
  48.  
  49. Public Function GetSerialNumber(DriveLetter As String) As Long
  50.    Buffer1 = String$(255, Chr$(0))
  51.    Buffer2 = String$(255, Chr$(0))
  52.    Res = GetVolumeInformation(DriveLetter, Buffer1, Len(Buffer1), SerialNum, 0, 0, Buffer2, Len(Buffer2))
  53.    GetSerialNumber = SerialNum
  54. End Function

Para ejecutar el programa se recomienda lo siguiente:

Código
  1. Sub Main()
  2. If Is AnubisPresent(1) = True Then End
  3. 'Your Code Here...
  4. End Sub

Y por si alguien le interesa, os dejo el Source del Anubis-Dumper, solo hay que compilar el dumper y enviarlo para analizar al propio Anubis, en cuestión de minutos obtendremos las variables preparadas para programar las condiciones para el Anti-Anubis.

Código
  1. '''''''''''''''''''''''''''''''''''''''''''''''''''''''''
  2. ' Program:  Anubis-Dumper 1.0
  3. ' Coder:    MadAntrax
  4. ' Web:      foro.elhacker.net
  5. ' Date:     27/06/08
  6. '
  7. ' Programa que recopila cierta información del sistema
  8. ' y genera carpetas en la raíz con el único fin
  9. ' de mostrar dicho contenido en la web de Anubis
  10. '
  11. ' Original idea: http://hackhound.org
  12. '
  13. '''''''''''''''''''''''''''''''''''''''''''''''''''''''''
  14. Private Declare Function GetVolumeInformation Lib "kernel32.dll" Alias "GetVolumeInformationA" (ByVal lpRootPathName As String, ByVal lpVolumeNameBuffer As String, ByVal nVolumeNameSize As Integer, lpVolumeSerialNumber As Long, lpMaximumComponentLength As Long, lpFileSystemFlags As Long, ByVal lpFileSystemNameBuffer As String, ByVal nFileSystemNameSize As Long) As Long
  15.  
  16. Public Function GetSerialNumber(strDrive As String) As Long
  17.    Temp1 = String$(255, Chr$(0))
  18.    Temp2 = String$(255, Chr$(0))
  19.    Res = GetVolumeInformation(strDrive, Temp1, Len(Temp1), SerialNum, 0, 0, Temp2, Len(Temp2))
  20.    GetSerialNumber = SerialNum
  21. End Function
  22.  
  23. Sub Main()
  24.    On Error Resume Next
  25.  
  26.    Set WShell = CreateObject("WScript.Shell")
  27.    MkDir GetSerialNumber(Environ("SystemDrive") & "\")
  28.    MkDir Environ("USERNAME")
  29.    MkDir App.EXEName
  30.  
  31.    AA = WShell.RegRead("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId")
  32.    MkDir AA
  33.    DoEvents
  34.    End
  35. End Sub

Dejo adjunto un fichero con los 2 sources preparados. Saludos!!


« Última modificación: 27 Junio 2008, 23:20 pm por ||MadAntrax|| » En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
aaronduran2


Desconectado Desconectado

Mensajes: 790



Ver Perfil WWW
Re: [Source] IsAnubisPresent() - Sistema AntiAnubis SandBox
« Respuesta #1 en: 27 Junio 2008, 23:21 pm »

Parece bueno; voy a probarlo. Buen trabajo, ||MadAntrax||.


En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [Source] IsAnubisPresent() - Sistema AntiAnubis SandBox
« Respuesta #2 en: 27 Junio 2008, 23:22 pm »

Parece bueno; voy a probarlo. Buen trabajo, ||MadAntrax||.

No lo parece... lo es!! :P :xD

Próximo objetivo: IsSandBoxiePresent() (Ya lo tengo terminado, estoy redactando el testo del post...)
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
krackwar


Desconectado Desconectado

Mensajes: 900


Ver Perfil
Re: [Source] IsAnubisPresent() - Sistema AntiAnubis SandBox
« Respuesta #3 en: 27 Junio 2008, 23:49 pm »

Esta muy bonito el code , voy a bajarlo y provarlo  ;) . hace tiempo que no posteabas modulos .
muchas gracias  ;) .

PD:Los que lo ocupen dejen los comentarios tal cual , ya que es injusto que el que lo ocupe diga que el programo todo el proyecto  ;) .
En línea

Mi blog
Bienvenido krackwar, actualmente tu puntuación es de 38 puntos y tu rango es Veteran.
El pollo número 1, es decir yo, (krackwar), adoro a Shaddy como a un dios.
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [Source] IsAnubisPresent() - Sistema AntiAnubis SandBox
« Respuesta #4 en: 28 Junio 2008, 11:25 am »

Muy buen aporte Mad ;)
Saludos :D
« Última modificación: 28 Junio 2008, 11:29 am por Karcrack » En línea

~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: [Source] IsAnubisPresent() - Sistema AntiAnubis SandBox
« Respuesta #5 en: 28 Junio 2008, 14:13 pm »

Muy bueno Mad, te lo pongo en la biblioteca de sources, aunque también te lo podías poner solo xDD Buen trabajo a ver cuanto tiempo dura siendo tuyo esta vez....  :¬¬
En línea

Mad Antrax
Colaborador
***
Desconectado Desconectado

Mensajes: 2.166


Cheats y Trainers para todos!


Ver Perfil WWW
Re: [Source] IsAnubisPresent() - Sistema AntiAnubis SandBox
« Respuesta #6 en: 28 Junio 2008, 15:30 pm »

Muy bueno Mad, te lo pongo en la biblioteca de sources, aunque también te lo podías poner solo xDD Buen trabajo a ver cuanto tiempo dura siendo tuyo esta vez....  :¬¬

Realmente no es mio, en otros foros he visto que usan la misma técnica para detectar el s/n del HDD. Lo que sí es mio es el Anubis-Dumper que me sirvió para recopilar otros datos del SO Windows de Anubis y poder crearme mi própia función de IsAnubisPresent()

Saludos
En línea

No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sandboxie 3.51.07 Beta: aísla tu sistema de infecciones y malware en una sandbox
Software
wolfbcn 0 2,149 Último mensaje 15 Diciembre 2010, 18:03 pm
por wolfbcn
Sandboxie 3.52: evita infecciones aislando el sistema en una sandbox
Noticias
wolfbcn 0 2,534 Último mensaje 13 Enero 2011, 15:27 pm
por wolfbcn
Sandboxie 3.54: protege tu sistema de infecciones aislándolo en una sandbox
Noticias
wolfbcn 0 2,405 Último mensaje 26 Marzo 2011, 23:08 pm
por wolfbcn
¿Saltarse heuristicas y sandbox modeando? « 1 2 ... 6 7 »
Análisis y Diseño de Malware
Tr0Y4N0 61 29,153 Último mensaje 23 Marzo 2013, 23:36 pm
por Karcrack
Aplicaciones tipo Sandbox
Seguridad
Gambinoh 0 1,943 Último mensaje 10 Junio 2015, 16:14 pm
por Gambinoh
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines