elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Intentando hacer algo con el RegEdit y el antivirus en Windows 10.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Intentando hacer algo con el RegEdit y el antivirus en Windows 10.  (Leído 6,019 veces)
Tirenex

Desconectado Desconectado

Mensajes: 49


Los virus siempre se inyectan en Antivirus


Ver Perfil
Intentando hacer algo con el RegEdit y el antivirus en Windows 10.
« en: 22 Octubre 2022, 15:30 pm »

Hola, buenos días, tardes, o noches; lo que estoy intentando hacer desde RegEdit es, que el antivirus propio de Windows 10, detecte como amenaza un programa que descargo y lo bloquee, no sé a ciencia cierta si esto es posible, o quizá se pueda hacer algo similar desde Power Shell, no lo sé.

En teoría se puede, pero no sé como buscar el código.

Un saludo grupo


En línea

Danielㅤ


Conectado Conectado

Mensajes: 1.824


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Intentando hacer algo con el RegEdit y el antivirus en Windows 10.
« Respuesta #1 en: 22 Octubre 2022, 16:50 pm »

Hola, muy dificil lo que querés lograr porque es manipular y controlar un antivirus y mucho más siendo del propio sistema operativo que no se va a dejar que lo controles porque sino no tendría sentido el antivirus ya que habrá quienes buscarán la forma de hacer lo contrario, es decir modificar el registro para que el propio antivirus de Windows no detecte los archivos maliciosos.


Saludos


En línea

Elektro Enjuto

Desconectado Desconectado

Mensajes: 121



Ver Perfil WWW
Re: Intentando hacer algo con el RegEdit y el antivirus en Windows 10.
« Respuesta #2 en: 23 Octubre 2022, 00:23 am »

Hasta donde yo se (puedo equivocarme) ninguno de los software de detección de virus/malware más populares y cotidianos del mercado proveen una característica similar a una blacklist o lista de inclusión forzada para falsos negativos. Lo que si que proveen es una lista de exclusión en donde puedes ignorar/permitir una amenaza conocida o un falso positivo, pero no recuerdo ningún antivirus que tenga nada para forzar a dicho antivirus a bloquear un archivo sin que se haya considerado una amenaza.

Sin embargo, Microsoft provee dos productos por nombre "Microsoft Defender for Endpoint" y "Microsoft Defender for Business", que si que integran este tipo de característica tan ausente en otros anvitirus. Por lo que se aprecia en el video de abajo, el programa permite crear reglas de bloqueo automático de archivos tomando como criterio el hash del archivo (hash del tipo SHA-1 en el video, pero imaigino que tendrá soporte para MD5 y otros). A este tipo reglas en el programa se le denominan 'indicadores de compromiso' (IoC).



En la interfaz de usuario del programa se puede apreciar que integra controles para importar un archivo de texto plano (.csv) con hashes de archivos, así que haciendo uso de PowerShell -y a falta de conocer si el programa almacena o no la configuración de las IoC en el registro de Windows para poder añadir una nueva IoC con el uso de un archivo .reg- se podría ingeniar las acrobacias necesarias para automatizar la UI del programa para la inserción de hashes de forma programática mediante el uso de la API de Microsoft UI Automation de .NET (System.Windows.Automation.dll).



Cabe mencionar que estos productos de software no son gratuitos, y están enfocados a nivel empresarial para el uso de administradores de sistemas en un pequeño o mediano negocio o una empresa. Claro que si te llegas a hacer con el producto pues siempre puedes utilizarlo para un uso doméstico aunque ese no sea su enfoque de comercialización.

La edición básica, "Microsoft Defender for Business", funciona mediane plan de suscripción por $3.00 al mes, y la edición más avanzada, "Microsoft Defender for Endpoint", tiene dos planes de suscripción que basicamente consisten en adquirir el plan de suscripción de la edición E3 de Microsoft 365, o la edición E5, valoradas en $36.00 y $57.00 al mes respectivamente.

 - Microsoft Defender for Business
 - Microsoft Defender for Endpoint

Nota: hay varias diferencias entre cada edición, y yo desconozco si la edición "Business" integra servicio de detección en tiempo real para las IoC.



Por último, aquí tienes un poco de documentación sobre ambos productos:

 - What is Microsoft Defender for Business?

 - What is  Microsoft Defender for Endpoint?

 - Create indicators for files
   (Applicable to Microsoft 365 Defender, Microsoft Defender for Business and Microsoft Defender for Endpoint)


-Enjuto Mojamuto "rey de los frikis" a su disposición para futuras dudas.
« Última modificación: 23 Octubre 2022, 00:48 am por Enjuto Mojamuto » En línea

@%$& #$ %&#$, ¡hay que decirlo más!.
Elektro Enjuto

Desconectado Desconectado

Mensajes: 121



Ver Perfil WWW
Re: Intentando hacer algo con el RegEdit y el antivirus en Windows 10.
« Respuesta #3 en: 23 Octubre 2022, 01:02 am »

(Publico este nuevo post por que el otro quedó muy largo y ahora voy a hablar desde otro enfoque muy distinto. Perdón a los moderadores.)

Desconozco cuales son tus verdaderas intenciones. Si lo que pretendes es poder hacer uso de un antivirus con capacidad para crear reglas de bloqueo automático para archivos conocidos (conociendo el hash del archivo a bloquear), pues ahí tienes mi respuesta en el post de arriba y a falta de saber si existe alguna alternativa más simple y gratuita.

Ahora bien, si por lo contrario lo que realmente buscas es cualquier tipo de solución -que no tiene por que ser necesariamente el antivirus de Windows 10- capaz de bloquear automaticamente un archivo conocido para impedir su ejecución, pues para eso no necesitas un antivirus. Te sirve por ejemplo este programa:

 - Simple Run Blocker v1.5

De hecho no necesitas utilizar un programa, sería suficiente con activar la política de grupo "DisallowRun" en la clave de registro "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer":

 - http://systemmanager.ru/win2k_regestry.en/93501.htm

Y a continuación editar las entradas de la clave de registro "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" para añadir los nombres de archivo de los programas cuya ejecución quieras impedir:

 - http://systemmanager.ru/win2k_regestry.en/93499.htm

( Esto es precisamente lo que hace el programa Simple Run Blocker. )

Nota: es necesario cerrar sesión de usuario o reiniciar el PC para activar el bloqueo. Pero esta característica de Windows es muy simple y limitada, solo sirve para bloquear archivos .exe y solo aquellos que ejecutes desde el explorador de Windows, además solo puedes especificar el nombre de archivo a bloquear (no puedes especificar una ruta completa de achivo, ni un hash), así que para saltarse el bloqueo es tan sencillo como renombrar el archivo. Por supuesto a diferencia del programa Simple Run Blocker, habrá programas que no se basen en esta característica de Windows y por ende permitan poder efectuar bloqueos más sofisticados. Google es tu aliado.
« Última modificación: 23 Octubre 2022, 02:01 am por Enjuto Mojamuto » En línea

@%$& #$ %&#$, ¡hay que decirlo más!.
Tirenex

Desconectado Desconectado

Mensajes: 49


Los virus siempre se inyectan en Antivirus


Ver Perfil
Re: Intentando hacer algo con el RegEdit y el antivirus en Windows 10.
« Respuesta #4 en: 23 Octubre 2022, 18:34 pm »

Gracias amigos, lo intentaré a ver qué pasa
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines