• Una Pregunta ya que somos los pioneros en el ......continua

  • Sección libre del foro. Puedes presentarte, comentar temas actuales del mundo informático o lo que sea de tu agrado.
Sección libre del foro. Puedes presentarte, comentar temas actuales del mundo informático o lo que sea de tu agrado.
 #399264  por lug
 28 Dic 2012, 12:08
skull_kid escribió:nose si sigan investigando acerca de este tema, pero bueno buscando por google algún método para que no salte el sandbox, encontré que usando el Alternate Data Streaming (ADS) se podía saltar el dichoso sandbox y lo probé y en parte tienen razón de que no salta el sandbox al ejecutar un ejecutable (que antes de realizar el ADS si lo mandaba al sandbox), pero como parecía muy bueno para ser verdad, tiene sus grandes limitaciones o mejor dicho es cero funcional (al menos eso he podido concluir por las pruebas que he hecho así como buscando y leyendo en google)

entonces lanzo una pregunta haber si me pueden guiar o de plano descartar el ADS, como este método solo funciona en la maquina en la que realizas el ADS (ya que al mandarlo a otra pc deja de funcionar) habrá alguna forma de hacerlo funcional o compatible para todas las pc's y en los diferentes sistemas operativos (win xp, win vista, win 7) ya que en mis pruebas se usa de manera distinta en xp que en windows 7.
En su momento tambien lei eso y ps hice mis pruebas, tambien noté que solo era funcional en local, aunque algo curioso fue que al tiempo lo volvi a intentar realizar pero no me funcionó, supongo que lo parchearon como es de esperar con un bug así.

PD:Aquí hay un linkk donde se puede leer mas sobre esto:
[ Debe registrarse para ver este enlace ]
 #399313  por skull_kid
 29 Dic 2012, 00:54
lug escribió:
skull_kid escribió:nose si sigan investigando acerca de este tema, pero bueno buscando por google algún método para que no salte el sandbox, encontré que usando el Alternate Data Streaming (ADS) se podía saltar el dichoso sandbox y lo probé y en parte tienen razón de que no salta el sandbox al ejecutar un ejecutable (que antes de realizar el ADS si lo mandaba al sandbox), pero como parecía muy bueno para ser verdad, tiene sus grandes limitaciones o mejor dicho es cero funcional (al menos eso he podido concluir por las pruebas que he hecho así como buscando y leyendo en google)

entonces lanzo una pregunta haber si me pueden guiar o de plano descartar el ADS, como este método solo funciona en la maquina en la que realizas el ADS (ya que al mandarlo a otra pc deja de funcionar) habrá alguna forma de hacerlo funcional o compatible para todas las pc's y en los diferentes sistemas operativos (win xp, win vista, win 7) ya que en mis pruebas se usa de manera distinta en xp que en windows 7.
En su momento tambien lei eso y ps hice mis pruebas, tambien noté que solo era funcional en local, aunque algo curioso fue que al tiempo lo volvi a intentar realizar pero no me funcionó, supongo que lo parchearon como es de esperar con un bug así.

PD:Aquí hay un linkk donde se puede leer mas sobre esto:
[ Debe registrarse para ver este enlace ]
gracias por responder y ese tutorial ya me lo había leído y de hecho fue con el que me guié para hacer mis pruebas
 #400987  por K7
 15 Ene 2013, 00:50
Les comento que al parecer he encontrado como saltar la sendbox de avast y lo he descubierto de la peor manera ya que he detectado que me he infectado con un virus por suerte en mi virtual que nose de que manera se me ha infiltrado sin ue salte el sendbox, estoy investigando de que manera lo ha hecho, al parecer es una una botnet o algun troyano lo importante es que el archivo exe fue programado en vb.net, investigare mas y compartire el curro del con ustedes. #SaludoS
 #405751  por FroZenFeW
 25 Feb 2013, 03:35
Tengo otra idea, que le parece que hagamos otro Estudio de investigación que tal si analizamos las firmas.

Por ejemplo las de tipo hexa es el mismo método que hacer modding por así decirlo y ver que llamada a función o que strings o que otra mierda es lo que esta pillando.

esto de investigar podriamos hacer una especie de revista de la comunidad con estos temas de investigación y no vengan con el puto cuento que es para mi beneficio [ Debe registrarse para ver este enlace ] cosas hago por este [ Debe registrarse para ver este enlace ]

ustedes comentaran

saludos
 #408096  por xamuel
 17 Mar 2013, 01:22
Bueno no se si esto interesa, me dio por hacer pruebas dentro de la sandbox y me soplo un pantallazo azul, y me reinicio el ordenador, y repeti el proceso pero con un proyecto en blanco de delphi, que guarde en el escritorio.

Voy al ejecutable y le doy con el secundario, y marco "siempre ejecutar virtualmente", de doy doble click y me sale la ventanita con la cuenta atras que no deberia salir pues quiero que se ejecute en la sandbox, y cuando se cierra y se abre la siguiente clicko en continuar y me peta.

Tengo win7 64bits y la ultima version de avast internet security, con unos dias de prueba que me dio la version gratuita.


Y lo de saltar el md5, igual no habria que saltarlo te puedes hacer un programa que se comporte como un keygen durante unos meses, que pete en la sandbox para que gane reputacion al ejecutarlo fuera y cuando llege una determinada fecha se comporte como un downloader, avfucker, binder,... (vamos la bomba logica de toda la vida).

Pero seguro que se quemaria rapido cada cual tendria que programarse el suyo , o al menos ganar su propia reputación cambiando un byte.
 #410037  por Slore
 07 Abr 2013, 10:38
Yo estaba apagando el pc con el paint abierto, habia dibujado un unicornio [WTF Son bromas lo del unicornio] pues como no habia guardado apague el pc para irme a dormir en eso windows se empieza a cerrar y me pregunta deseas finalizar las siguientes tareas?
puse cancelar, y se fue el avast lo bueno? se fue el avast pero se queda la proteccion de archivos, pero la querida sandbox no me salta :P
creo que seria algo tipo como:

Shutdown -R y luego un sleep de 5000 y darle Shutdown -a
pero con el paint dibujado o un bloc de notas con letras o algo bueno yo doy ideas y quien quiera la desarrolla :P
 #495113  por Bravus
 30 Ago 2019, 05:02
Slore: escribió: Yo estaba apagando el pc con el paint abierto, habia dibujado un unicornio [WTF Son bromas lo del unicornio] pues como no habia guardado apague el pc para irme a dormir en eso windows se empieza a cerrar y me pregunta deseas finalizar las siguientes tareas?
puse cancelar, y se fue el avast lo bueno? se fue el avast pero se queda la proteccion de archivos, pero la querida sandbox no me salta :P
creo que seria algo tipo como:

Shutdown -R y luego un sleep de 5000 y darle Shutdown -a
pero con el paint dibujado o un bloc de notas con letras o algo bueno yo doy ideas y quien quiera la desarrolla :P
El tema esta cuando vuelvas a enceder el pc, aunque le metas un delay de la ostia al server lo infectas, y al tener persistencia cuando avast cargue sus modulos incluido el puto sandbox lo pillara, yo pienso que se vuelve loco este sistema de deteccion en procesos que estan usando demasiada cpu y memoria, al fin y al cabo lo tienes que inyectar en algun proceso, el tema es de alguna forma matar ese modulo de avast, ya que el av en si no coge ni su puta madre, matar ese proceso desde el inicio y que solo rule el av en si, no se si me explico.

Saludos
  • 1
  • 11
  • 12
  • 13
  • 14
  • 15