Tifro escribió:Pues yo ya no se como configurarlo y siempre salta el puñetero sandbox del avast este.
Ya no se que configuracion mas probar,voy a darle un descansito de unos dias y volvere a probar porque me tiene ya kemado.Jejejejeje
Se aceptan sujerencias.

Yo no sabia a que punto andaba el avast, la configuracion y nombre del serve solo sirbe a los demas....esta cosa de encryptar troyanos no serbira de nada luego..luego....lo siento pero es la verdad.
"Hay que endurecerse, pero sin perder la ternura jamás." Che Guevara.
el martes saco mi investigacion sobre el crypter de metal
Imagen
en el msn ♣Conejo escribió:[26/03/11 10:39:13] Su firma contiene 281 caracteres. El máximo número de caracteres permitidos es 200.
menos mal que soy admin
Sir José escribió:
Tifro escribió:Pues yo ya no se como configurarlo y siempre salta el puñetero sandbox del avast este.
Ya no se que configuracion mas probar,voy a darle un descansito de unos dias y volvere a probar porque me tiene ya kemado.Jejejejeje
Se aceptan sujerencias.

Yo no sabia a que punto andaba el avast, la configuracion y nombre del serve solo sirbe a los demas....esta cosa de encryptar troyanos no serbira de nada luego..luego....lo siento pero es la verdad.
Exactamente...
Estoy creando un nuevo iceberg pero este no es esa miarda que sacamos xD este es la p0ll4 limonera xD ise que las llaves de registro se borren y asi al iniciar sesion taran! xD sin av + encima el iceberg bloquea procesos...
mas que le puse protección para no eliminarse
y 4 mil propagaciones entre ellas alguna privada que me pasaron :$ yo creo que mxos de nosotros ya sabemos que viene... y que loos crypters ya son el pasado... la heuristica lo detecta todo... y hay que tenerlo en cuenta ya no es el siglo 20 xd
por los demas comentarios me parecen bn :P
Veterano

Las apariencias engañan.
Slore escribió:
Sir José escribió:
Tifro escribió:Pues yo ya no se como configurarlo y siempre salta el puñetero sandbox del avast este.
Ya no se que configuracion mas probar,voy a darle un descansito de unos dias y volvere a probar porque me tiene ya kemado.Jejejejeje
Se aceptan sujerencias.

Yo no sabia a que punto andaba el avast, la configuracion y nombre del serve solo sirbe a los demas....esta cosa de encryptar troyanos no serbira de nada luego..luego....lo siento pero es la verdad.
Exactamente...
Estoy creando un nuevo iceberg pero este no es esa miarda que sacamos xD este es la p0ll4 limonera xD ise que las llaves de registro se borren y asi al iniciar sesion taran! xD sin av + encima el iceberg bloquea procesos...
mas que le puse protección para no eliminarse
y 4 mil propagaciones entre ellas alguna privada que me pasaron :$ yo creo que mxos de nosotros ya sabemos que viene... y que loos crypters ya son el pasado... la heuristica lo detecta todo... y hay que tenerlo en cuenta ya no es el siglo 20 xd
por los demas comentarios me parecen bn :P
Como se ejecute en la sandbox "tu" iceberg se irá a la mierda como todo lo demás.
UDTools.net
GitHub: https://github.com/MetalUDT
rudeboy1991 escribió:Los crypters no son lo pasado amigo, solo que aqui mayoriamente solo se publica crypters que no saben evadir las proactivas.

Estaba analisando.....la sandbox...esta en el mismo nivel del kernel......creo que ya sabes lo que quiero decir....
"Hay que endurecerse, pero sin perder la ternura jamás." Che Guevara.
Deshabilitando/borrando la siguiente clave de registro en win7 y después del siguiente inicio no salta la ventana de FileRep, el archivo se ejecuta normalmente y el avast no da ningún tipo de error:

HKLM/System/CurrentControlSet/Services/aswSP

Image path:

c:/Windows/system32/drivers/aswsp.sys

Claro, con privilegios de administrador, pero es algo para empezar.
Y donde se podria conseguir un crypter que se saltara la proactiva del los antivirus si no es mucho preguntar
Tifro escribió:Y donde se podria conseguir un crypter que se saltara la proactiva del los antivirus si no es mucho preguntar
Eso se está investigando..
SuC escribió:
Tifro escribió:Y donde se podria conseguir un crypter que se saltara la proactiva del los antivirus si no es mucho preguntar
Eso se está investigando..
Ok pero es que por la manera de contestar de rudeboy1991 me a parecido que el ya cuenta con este tipo de crypters,por eso la pregunta.
Un saludo y espero no haber ofendido a nadie es que uno esta intentando aprender poco a poco en esto de los crypters y de los rats.
Lo mio es el tema de los helados.Jejejejeje
Tifro escribió:
SuC escribió:
Tifro escribió:Y donde se podria conseguir un crypter que se saltara la proactiva del los antivirus si no es mucho preguntar
Eso se está investigando..
Ok pero es que por la manera de contestar de rudeboy1991 me a parecido que el ya cuenta con este tipo de crypters,por eso la pregunta.
Un saludo y espero no haber ofendido a nadie es que uno esta intentando aprender poco a poco en esto de los crypters y de los rats.
Lo mio es el tema de los helados.Jejejejeje
Yo algo e visto por ahí, pero nada público.
SuC escribió:
Tifro escribió:
SuC escribió:
Tifro escribió:Y donde se podria conseguir un crypter que se saltara la proactiva del los antivirus si no es mucho preguntar
Eso se está investigando..
Ok pero es que por la manera de contestar de rudeboy1991 me a parecido que el ya cuenta con este tipo de crypters,por eso la pregunta.
Un saludo y espero no haber ofendido a nadie es que uno esta intentando aprender poco a poco en esto de los crypters y de los rats.
Lo mio es el tema de los helados.Jejejejeje
Yo algo e visto por ahí, pero nada público.
Soy pesimista cuanto a eso....creo que tardara "mucho"...ya bypassers para KIS, Gdata Avg eso es verdad, pero la sandbox del avast es una cosa completamiente diferente......no se anime....
"Hay que endurecerse, pero sin perder la ternura jamás." Che Guevara.
Yo actualmente puedo bypassear todas las proactivas menos el filerep de avast. Hace 1 mes, si me saltaba el sandob de avast, ya que no contaba con su sistema de filerep en el sandbox en el sandbox de avast esta lo siguiente: "static analysis", "the file origen/souce is suspicious" "the file is executed form remote "generic heuristics" "the file reputatation".

Bit defender, avg, kavpersky, comodo, gdata, norton, avast (menos "the file reputation") son todas bypaseables con ideas que ya hay en el foro mil veces, y esas ideas son facil de implementarlos en un crypter, solo es saber un poco (y no ripear), de como hacer el code en el leguange que te lo planteas.
No es nada del otro mundo.

Sin embargo, esta ultima implementacion malisima de avast ya me tiene los huevos negros. A ver si los usuarios de avast siguen quejandose en el foro de avast y lo quitan jaja.
rudeboy1991 escribió:Yo actualmente puedo bypassear todas las proactivas menos el filerep de avast. Hace 1 mes, si me saltaba el sandob de avast, ya que no contaba con su sistema de filerep en el sandbox en el sandbox de avast esta lo siguiente: "static analysis", "the file origen/souce is suspicious" "the file is executed form remote "generic heuristics" "the file reputatation".

Bit defender, avg, kavpersky, comodo, gdata, norton, avast (menos "the file reputation") son todas bypaseables con ideas que ya hay en el foro mil veces, y esas ideas son facil de implementarlos en un crypter, solo es saber un poco (y no ripear), de como hacer el code en el leguange que te lo planteas.
No es nada del otro mundo.

Sin embargo, esta ultima implementacion malisima de avast ya me tiene los huevos negros. A ver si los usuarios de avast siguen quejandose en el foro de avast y lo quitan jaja.
algo asi he hecho yo, es una tools que no encripta pero si ejecuta el server y lo copia en la carpeta que quieras, y lo añade al registro, no es complicado yo lo he hecho en visual basic, y mediante comandos de msdos, pero el avast ni de coña lo salta un saludo
Imagen
Avast primero mira el hash y si es conocido ya lo ejecuta. Pero tu tool no es conocida (es decir, no se ha ejecutado en unos 200 pcs), asique no saltaria.


Ahora una cosa que me acaba de venir a la cabeza.

A la gente que no les saltaba el sandbox al abrir un simple formulario compilado quienes eran?
Y donde tenian instalados en vb6?

Lo digo, porque si compilo un proyecto1 defualt (es decir, abro vb6, standard exe, y compilar) desde el vb6 de la carpeta de instalacion por defecto, no me salta el sandox. ¿Porque? Pues porque habran miles de usuarios que tienen a vb6 instalados en la carpeta por defecto y ejecutan al principio con F5 un code en vacio. Este MD5 ya esta guardado en el filerep de avast.

Ahora si instalas vb6 en una ruta que no sea la de defecto, ya el MD5 de un simple formulario cambia. Ya que cambia en el exe la ruta del proyecto y plaf. Avast no lo conoce.

Entonces tiene que ser por MD5 y no por firmado digital ni nada.

Con lo que he dicho aclarara a mucha gente muchas cosas.

Esto no tiene que ver con la config de servidor ni nada parecido. Ni donde lo abres ni nada.

Volver a “Mensajes Entre Nosotros”