elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)  (Leído 5,155 veces)
VanX
Wiki

Desconectado Desconectado

Mensajes: 222



Ver Perfil WWW
[B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« en: 31 Julio 2011, 15:37 pm »

HOla a todos de nuevo, hoy les traigo este programita que hice ya un poco mas profesional pero que aún le queda mucho por mejorar.


Es un antivirus para archivos ".bat" ya que busqué por la red pero no había ninguno así que decidí hacer uno propio :P

Características:
- AntiBatch
- Escaner ".bat"
- USB Protector
- Se minimiza en la barra de tareas para un uso más complejo


si encuentran cualquier bug o sugerencia ya saben ;)

saludos

http://www.megaupload.com/?d=XDLHYI13
http://www.mediafire.com/?t9a3jvqfcql9r9i


En línea

leogtz
. . .. ... ..... ........ ............. .....................
Colaborador
***
Desconectado Desconectado

Mensajes: 3.069


/^$/


Ver Perfil WWW
Re: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« Respuesta #1 en: 1 Agosto 2011, 01:51 am »

Si pudiera ver el código quizá te podría dar una opinión.


En línea

Código
  1. (( 1 / 0 )) &> /dev/null || {
  2. echo -e "stderrrrrrrrrrrrrrrrrrr";
  3. }
  4.  
http://leonardogtzr.wordpress.com/
leogutierrezramirez@gmail.com
jmetin2

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« Respuesta #2 en: 1 Agosto 2011, 04:59 am »

pues la verdad no detecta codigos ofuscados

Mira ase tiempo cree un ofuscador de texto en batch tipo visual basic pero me cree un archivo .bat (virus basico)

@echo off
title Hola
:hola
start
goto hola
exit

y lo pase por mi encriptador batch

y quedo asi

@ccmd34GGJ3 j3J4OO&JJ3K20JdkIJ rgij9IJHOIHklnN&:OIJq90399U&SjeakFPIihaIHip0a&'9JE'JA'9J OIJq90399U&MMDNU204

y stub lo que ase es leerse asi mismo y busca una cadena de numeros y de ay parte la cadena para desencriptarla. Paso tu antivirus y no detecta nada, Ejecuto y me salen las miles de pantallas y nada de nada

Creo que Debes mejorar tu codigo en tiempo Real jeje.

Porsierto Debes de agregarle un poco de IA a tu antibatch,
si ay una etiqueta y no ay mas de 5 lineas dentro de la etiqueta y el ultimo comando es un goto Debes chekar cada codigo como Si en esos comandos ay una "If" y un goto con otra etiqueta, es un codigo libre.

Digo lo anterior de la IA porque con un codigo nada malware:

@echo off
title Hola
echo.>hola.exe
Del hola.exe
exit

Pues este codigo no ase nada lo mas que ase es crearte un archivo y de nuevo borrarlo.

Si quieres te ayudo a tu proyecto. Claro solo es una opcion :) esta bueno

aaaa

te preguntaras porque uando ejecute el primer codigo no detecto que se cree el archivo, bueno aqui est la razon:

set a=mofgfhh
set a="%a:mo=ty%"
set a="%a:gf=p%"
set a="%a:yp=ype%"
%a% "%~0">nul
....... descifra.......
set b=TextoDesEnCriptado
set a=ffhnmmkkjd
set a=%a:ff=S%
set a=%a:hn=T%
set a=%a:mm=A%
set a=%a:STA=start%
set a=%a:~0,5%
%a% Cmd /C %b%>nul
exit

Creo que tu codigo solo detecta las variables de este tipo:

set a=st
set b=a
set c=rt
set d=%a%%b%%c%
%d% >>start y pues deberias chekar y agregarle un chekador MD5 a los archivos que ejecuta el cmd y añadirle a tu antivirus una lista de md5 de los virus pobles a ejecutar.

Yo con mucho gusto te ayudaria y la verdad es facil.

Edito Para Agregate Otras Cositas:

con los comandos copy Debes ser un poco mas sensible y como te dije ase rato la IA

como otro ejemplo:

Copy %~0 %homepath%\Escritorio\Yo.bat

Bueno si se copia asi no creo que haga mucho daño tu lo que Debes escanear de este codigo son las rutas donde se copia, no es lo mismo homepath a Windir

Otra cosa los parametros de copy por ejemplo que sobre escriba.

Como te dije con la lista MD5 y el tiempo real modifica el registro para que pase por tu programa todo el codigo. no directamente por la shell de comandos como la Famosa SandBox de los muchos antivirus.

Es algo bastante bueno y hablando de sandbox la podrias agregar

1 Ejecutar con todos los derechos: poder manejar todos y cada uno de los archivos del sistema con total confianza
2 Derechos Limitados: poder manejar archivos sin importancia
3 Sin ningun derecho a ejecutar comando que no esten en el system32 ni comandos que afecten los archivos

y bueno esa es mi idea y vendria enlazada con la IA.

Espero que te sirva.
« Última modificación: 1 Agosto 2011, 05:08 am por jmetin2 » En línea

Empezando a programar en MASM32
VanX
Wiki

Desconectado Desconectado

Mensajes: 222



Ver Perfil WWW
Re: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« Respuesta #3 en: 1 Agosto 2011, 08:53 am »

pues la verdad no detecta codigos ofuscados

Mira ase tiempo cree un ofuscador de texto en batch tipo visual basic pero me cree un archivo .bat (virus basico)

@echo off
title Hola
:hola
start
goto hola
exit

y lo pase por mi encriptador batch

y quedo asi

@ccmd34GGJ3 j3J4OO&JJ3K20JdkIJ rgij9IJHOIHklnN&:OIJq90399U&SjeakFPIihaIHip0a&'9JE'JA'9J OIJq90399U&MMDNU204

y stub lo que ase es leerse asi mismo y busca una cadena de numeros y de ay parte la cadena para desencriptarla. Paso tu antivirus y no detecta nada, Ejecuto y me salen las miles de pantallas y nada de nada

Creo que Debes mejorar tu codigo en tiempo Real jeje.

Porsierto Debes de agregarle un poco de IA a tu antibatch,
si ay una etiqueta y no ay mas de 5 lineas dentro de la etiqueta y el ultimo comando es un goto Debes chekar cada codigo como Si en esos comandos ay una "If" y un goto con otra etiqueta, es un codigo libre.

Digo lo anterior de la IA porque con un codigo nada malware:

@echo off
title Hola
echo.>hola.exe
Del hola.exe
exit

Pues este codigo no ase nada lo mas que ase es crearte un archivo y de nuevo borrarlo.

Si quieres te ayudo a tu proyecto. Claro solo es una opcion :) esta bueno

aaaa

te preguntaras porque uando ejecute el primer codigo no detecto que se cree el archivo, bueno aqui est la razon:

set a=mofgfhh
set a="%a:mo=ty%"
set a="%a:gf=p%"
set a="%a:yp=ype%"
%a% "%~0">nul
....... descifra.......
set b=TextoDesEnCriptado
set a=ffhnmmkkjd
set a=%a:ff=S%
set a=%a:hn=T%
set a=%a:mm=A%
set a=%a:STA=start%
set a=%a:~0,5%
%a% Cmd /C %b%>nul
exit

Creo que tu codigo solo detecta las variables de este tipo:

set a=st
set b=a
set c=rt
set d=%a%%b%%c%
%d% >>start y pues deberias chekar y agregarle un chekador MD5 a los archivos que ejecuta el cmd y añadirle a tu antivirus una lista de md5 de los virus pobles a ejecutar.

Yo con mucho gusto te ayudaria y la verdad es facil.

Edito Para Agregate Otras Cositas:

con los comandos copy Debes ser un poco mas sensible y como te dije ase rato la IA

como otro ejemplo:

Copy %~0 %homepath%\Escritorio\Yo.bat

Bueno si se copia asi no creo que haga mucho daño tu lo que Debes escanear de este codigo son las rutas donde se copia, no es lo mismo homepath a Windir

Otra cosa los parametros de copy por ejemplo que sobre escriba.

Como te dije con la lista MD5 y el tiempo real modifica el registro para que pase por tu programa todo el codigo. no directamente por la shell de comandos como la Famosa SandBox de los muchos antivirus.

Es algo bastante bueno y hablando de sandbox la podrias agregar

1 Ejecutar con todos los derechos: poder manejar todos y cada uno de los archivos del sistema con total confianza
2 Derechos Limitados: poder manejar archivos sin importancia
3 Sin ningun derecho a ejecutar comando que no esten en el system32 ni comandos que afecten los archivos

y bueno esa es mi idea y vendria enlazada con la IA.

Espero que te sirva.

Sabía que no detectaba ofuscados y por eso estoy trabajando en ello y también en detectar solo los  codigos malvados porque a veces detecta secuencias como la que has mencionado ;)

gracias
En línea

jmetin2

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« Respuesta #4 en: 1 Agosto 2011, 12:18 pm »

de nada amigo

a si te sirve de ayuda, para los codes ofuscados, puedes leer el archivo padre (el que llama al archivo ouscado) asi te fijas en el algoritmo.


a otra cosita informate muy bien sobre los comandos especiales

<nul set/p "=Hola mundo"

es igual a
echo Hola mundo

Bueno Adios y buenos Dias
En línea

Empezando a programar en MASM32
VanX
Wiki

Desconectado Desconectado

Mensajes: 222



Ver Perfil WWW
Re: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« Respuesta #5 en: 1 Agosto 2011, 12:58 pm »

Gracias me lo voy a mirar!

saludos
En línea

leogtz
. . .. ... ..... ........ ............. .....................
Colaborador
***
Desconectado Desconectado

Mensajes: 3.069


/^$/


Ver Perfil WWW
Re: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« Respuesta #6 en: 2 Agosto 2011, 01:38 am »

de nada amigo

a si te sirve de ayuda, para los codes ofuscados, puedes leer el archivo padre (el que llama al archivo ouscado) asi te fijas en el algoritmo.


a otra cosita informate muy bien sobre los comandos especiales

<nul set/p "=Hola mundo"

es igual a
echo Hola mundo

Bueno Adios y buenos Dias

Por supuesto que no, son diferentes. un echo por defecto lanza un newline, usando set /p de esa manera se inhibe.

Saludos.
En línea

Código
  1. (( 1 / 0 )) &> /dev/null || {
  2. echo -e "stderrrrrrrrrrrrrrrrrrr";
  3. }
  4.  
http://leonardogtzr.wordpress.com/
leogutierrezramirez@gmail.com
43H4FH44H45H4CH49H56H45H
Wiki

Desconectado Desconectado

Mensajes: 502



Ver Perfil
Re: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« Respuesta #7 en: 15 Agosto 2011, 02:22 am »

si encuentran cualquier bug o sugerencia ya saben ;)

Siento revivir el tema pero quería hacer una sugerencia.
Hace un par de años hice mi versión "antibatch", aunque tenía la opción de que el usuario pudiera agregar las firmas y/o comandos para la detección se hacía muy aburrido andar recolectando muestras para nuevos tipos de .bat, para hacerlo sencillo recurrí a bloquear directamente cmd.exe, así al analizar ejecutables podía saber si este contenía algún .bat sin necesidad de monitorizar los cambios en el HD o en los procesos, ya que se muestra un mensaje como este:



Solo se necesita una función en VS C++ tan sencilla como esta:

Código
  1. int lockFile(char *file)
  2. {
  3. FILE    *pFile = NULL;
  4. char    *fileName = file;
  5.    fopen_s(&pFile, fileName ,"r+");
  6.    if (!pFile)
  7.    {
  8. return 0;
  9.    }
  10.    _lock_file(pFile);    
  11. printf("\nThe %s is locked\nPress any key for Unlock %s.\n", fileName,fileName);
  12.    _unlock_file(pFile);    
  13.    fclose(pFile);
  14.    printf("\n%s is Unlocked.\n", fileName);
  15. return 1;
  16. }

Pero es mejor hacerla con CreateFile y C++ utilizando clases (como la que hice ese tiempo).
Para que veas cómo trabaja hice un pequeño ejemplo en C para ver su uso, lo que hace primero es listar los procesos para terminar los que correspondan al Símbolo del sistema, por cada proceso que encuentre y termine incrementa 0.5 segundos la espera para iniciar el bloqueo.



Luego intenta ejecutar un .bat o similar para ver cómo funciona, el programa esperara a que se oprima una tecla para el desbloqueo.



Este método solo funciona en Win XP, en 7 es un poco más complicado, pero sirve de ejemplo  :P

Se puede combinar con un poco de heurística para bloquear solo en determinadas ocasiones.

Espero te sirva.
Saluos.
En línea


-R IP
:0100
-A 100 
2826:0100 MOV AH,09
2826:0102 MOV DX,109
2826:0105 INT 21
2826:0105 MOV AH,08
2826:0105 INT 21
2826:0107 INT 20
2826:0109 DB 'MI NICK ES CODELIVE.$' 
2826:0127 
-R BX
:0000
-R CX
:20
-N CODELIVE.COM
-W
43H4FH44H45H4CH49H56H45H
Wiki

Desconectado Desconectado

Mensajes: 502



Ver Perfil
Re: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« Respuesta #8 en: 15 Agosto 2011, 02:26 am »

Me olvide el enlace de descarga:
http://www.4shared.com/file/PW7kNXcp/Lcmd_2.html
No edite el post anterior porque me salian errores en el código al previsualizar :-\
En línea


-R IP
:0100
-A 100 
2826:0100 MOV AH,09
2826:0102 MOV DX,109
2826:0105 INT 21
2826:0105 MOV AH,08
2826:0105 INT 21
2826:0107 INT 20
2826:0109 DB 'MI NICK ES CODELIVE.$' 
2826:0127 
-R BX
:0000
-R CX
:20
-N CODELIVE.COM
-W
VanX
Wiki

Desconectado Desconectado

Mensajes: 222



Ver Perfil WWW
Re: [B]atch [D]efender v3.2 - Antivirus para ".bat" (by VanX)
« Respuesta #9 en: 15 Agosto 2011, 22:13 pm »

Me voy a mirar que tal  ;)
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
"""BUSCO EJEMPLO VB PARA ENVIAR MAILS""""
Programación Visual Basic
gera 1 6,603 Último mensaje 1 Septiembre 2005, 00:14 am
por programatrix
Esta disponible la traducción al "Español" para el "Photoshop CS9" ??
Diseño Gráfico
Ad0nis 1 4,272 Último mensaje 2 Septiembre 2006, 01:36 am
por aNexos
De donde puedo descargar utilidades: "Formas", "Estilos", "Motivos", D
Diseño Gráfico
Ad0nis 2 8,828 Último mensaje 2 Septiembre 2006, 15:48 pm
por Ad0nis
[Ayuda] modificar "start page" en "internet explorer" con "batch"
Scripting
taton 7 17,273 Último mensaje 20 Septiembre 2006, 01:45 am
por taton
Comando para "parar Antivirus y otros" en Batch
Scripting
700esoj 2 6,159 Último mensaje 19 Febrero 2008, 16:40 pm
por Eternal Idol
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines