elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  Evadir el antivirus
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Evadir el antivirus  (Leído 3,301 veces)
yovaninu


Desconectado Desconectado

Mensajes: 349



Ver Perfil
Evadir el antivirus
« en: 8 Julio 2011, 06:55 am »

Hola que tal, espero puedan orientarme con este tema.

El avira (y lo mas seguro otros antivirus) me esta detectando mi proyecto en VB de troyano como malware, lo sé, era de esperarse ya que las llamadas a la API o al registro de Windows lo hago asi, sin ningun tipo de cifrado o algo parecido. Mi pregunta es: ¿Hasta la fecha hay algun metodo efectivo que ayude a saltarse el antivirus?.. He leido sobre cifrar el proyecto pero al menos el de Karcrack no me ha funcionado, deja muchas lineas en rojo, tambien lo de las llamadas a las APIS no de la forma convencional sino de una tal que el antivirus no lo detecta, aun asi el tema no me ha quedado muy claro y por eso el motivo del post.

Desde ya gracias por su ayuda.

Saludos.


En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Evadir el antivirus
« Respuesta #1 en: 8 Julio 2011, 09:46 am »

hola buenas pues eso es algo dificil aunq hay muchas tecnicas :P
primeramente un buen cifrado estaria bien a todas las cadenas q puedas :P
y con eso de llamar a las apis puedes usar un metodo para llamar a las Apis por su nombre:

code by cobein:

Código
  1. Declare Sub RtlMoveMemory Lib "kernel32" (dest As Any, src As Any, ByVal L As Long)
  2. Declare Function CallWindowProcA Lib "user32" (ByVal addr As Long, ByVal p1 As Long, ByVal p2 As Long, ByVal p3 As Long, ByVal p4 As Long) As Long
  3. Declare Function GetProcAddress Lib "kernel32" (ByVal hModule As Long, ByVal lpProcName As String) As Long
  4. Declare Function LoadLibraryA Lib "kernel32" (ByVal lpLibFileName As String) As Long
  5.  
  6. Function CallApiByName(ByVal sLib As String, ByVal sMod As String, ParamArray Params()) As Long
  7. On Error Resume Next
  8.   Dim lPtr                As Long
  9.   Dim bvASM(&HEC00& - 1)  As Byte
  10.   Dim I                   As Long
  11.   Dim lMod                As Long
  12.  
  13.   lMod = GetProcAddress(LoadLibraryA(sLib), sMod)
  14.   If lMod = 0 Then Exit Function
  15.  
  16.   lPtr = VarPtr(bvASM(0))
  17.   RtlMoveMemory ByVal lPtr, &H59595958, &H4:              lPtr = lPtr + 4
  18.   RtlMoveMemory ByVal lPtr, &H5059, &H2:                  lPtr = lPtr + 2
  19.   For I = UBound(Params) To 0 Step -1
  20.       RtlMoveMemory ByVal lPtr, &H68, &H1:                lPtr = lPtr + 1
  21.       RtlMoveMemory ByVal lPtr, CLng(Params(I)), &H4:     lPtr = lPtr + 4
  22.   Next
  23.   RtlMoveMemory ByVal lPtr, &HE8, &H1:                    lPtr = lPtr + 1
  24.   RtlMoveMemory ByVal lPtr, lMod - lPtr - 4, &H4:         lPtr = lPtr + 4
  25.   RtlMoveMemory ByVal lPtr, &HC3, &H1:                    lPtr = lPtr + 1
  26.   CallApiByName = CallWindowProcA(VarPtr(bvASM(0)), 0, 0, 0, 0)
  27.  
  28. End Function

para usarla la funcion el primer parametro debe de ser la libreria que pertenece la API ( kernel32, user32, ect) el segundo el nombre de la API ( sleep,createprocess, ect) , el tercer los parametros de la api como vez en la funcion el ultimo argumento es un array asi q no importa cuantos parametros tenga la api la funcion se acoplara a ellos

Código:
Function CallApiByName(ByVal sLib As String, ByVal sMod As String, ParamArray Params()) As Long


cifra los nombres de las api talvez te sirva mi ayuda  :P


En línea

yovaninu


Desconectado Desconectado

Mensajes: 349



Ver Perfil
Re: Evadir el antivirus
« Respuesta #2 en: 8 Julio 2011, 18:27 pm »

Opte por reescribir el servidor dese cero y me doy con la sorpresa de que lo que AVIRA detecta como malware es el CSocketMaster, lo puse en un proyecto en blanco y al tratar de generar el exe, el antirus salta. Hay opciones para esto?
En línea

yovaninu


Desconectado Desconectado

Mensajes: 349



Ver Perfil
Re: Evadir el antivirus
« Respuesta #3 en: 8 Julio 2011, 19:56 pm »

En fin... como dice Raul va a ser un tanto dificil burlar al antivirus... supongo que ahora me toca probar a tratar de hacer indetectable el server, no veo otra opcion, mi consulta ahora es ¿cual metodo uds me recomiendan?, hay muchos que abundan por la red y preferiria espera a una opinion de ustedes para iniciar con uno de ellos como son el Metodo Rit,Modificacion Hexadecima,Crypters entre otros.
En línea

BlackZeroX
Wiki

Desconectado Desconectado

Mensajes: 3.158


I'Love...!¡.


Ver Perfil WWW
Re: Evadir el antivirus
« Respuesta #4 en: 9 Julio 2011, 06:50 am »

Hay una manera para el CSocketMaster... solo debes modificar las apis de Cierto modo para que no lo detecte, o mas simple, seria reescribir otra clase para sockets...

Dulces Lunas!¡.
En línea

The Dark Shadow is my passion.
yovaninu


Desconectado Desconectado

Mensajes: 349



Ver Perfil
Re: Evadir el antivirus
« Respuesta #5 en: 9 Julio 2011, 19:18 pm »

Hay una manera para el CSocketMaster... solo debes modificar las apis de Cierto modo para que no lo detecte, o mas simple, seria reescribir otra clase para sockets...

Dulces Lunas!¡.
Ojala pudieras orientarme mas al respecto... y una consulta black... he notado que CSockeMasterPlus al parecer no es detectado... a parte de que este ultimo usa un arreglo para su funcionamiento ¿cual es la diferencia con el Csocketmaster?, pienso reescribir mi server con el plus y necesito una opinion favorable para hecerlo

Saludos
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Evadir el Firewall « 1 2 »
Programación Visual Basic
pamela02 19 6,219 Último mensaje 9 Enero 2006, 14:14 pm
por sch3m4
Evadir Ciberpuesto.
Programación Visual Basic
Zinc 9 5,771 Último mensaje 17 Enero 2007, 18:20 pm
por dPix
Duda de como evadir un antivirus
Hacking
N3Tw0lf 5 5,502 Último mensaje 16 Junio 2011, 08:35 am
por .:UND3R:.
Habrá una alternativa de STREAMING capaz de evadir la ley SOPA y el FBI? « 1 2 »
Programación General
Skeletron 13 10,299 Último mensaje 9 Febrero 2012, 01:56 am
por Skeletron
cules son las técnicas para evadir los antivirus
Análisis y Diseño de Malware
chamo 1 7,712 Último mensaje 24 Octubre 2024, 19:55 pm
por Bad4m_cod3
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines