skull_kid escribió:nose si sigan investigando acerca de este tema, pero bueno buscando por google algún método para que no salte el sandbox, encontré que usando el Alternate Data Streaming (ADS) se podía saltar el dichoso sandbox y lo probé y en parte tienen razón de que no salta el sandbox al ejecutar un ejecutable (que antes de realizar el ADS si lo mandaba al sandbox), pero como parecía muy bueno para ser verdad, tiene sus grandes limitaciones o mejor dicho es cero funcional (al menos eso he podido concluir por las pruebas que he hecho así como buscando y leyendo en google)

entonces lanzo una pregunta haber si me pueden guiar o de plano descartar el ADS, como este método solo funciona en la maquina en la que realizas el ADS (ya que al mandarlo a otra pc deja de funcionar) habrá alguna forma de hacerlo funcional o compatible para todas las pc's y en los diferentes sistemas operativos (win xp, win vista, win 7) ya que en mis pruebas se usa de manera distinta en xp que en windows 7.
En su momento tambien lei eso y ps hice mis pruebas, tambien noté que solo era funcional en local, aunque algo curioso fue que al tiempo lo volvi a intentar realizar pero no me funcionó, supongo que lo parchearon como es de esperar con un bug así.

PD:Aquí hay un linkk donde se puede leer mas sobre esto:
[Enlace externo eliminado para invitados]
lug escribió:
skull_kid escribió:nose si sigan investigando acerca de este tema, pero bueno buscando por google algún método para que no salte el sandbox, encontré que usando el Alternate Data Streaming (ADS) se podía saltar el dichoso sandbox y lo probé y en parte tienen razón de que no salta el sandbox al ejecutar un ejecutable (que antes de realizar el ADS si lo mandaba al sandbox), pero como parecía muy bueno para ser verdad, tiene sus grandes limitaciones o mejor dicho es cero funcional (al menos eso he podido concluir por las pruebas que he hecho así como buscando y leyendo en google)

entonces lanzo una pregunta haber si me pueden guiar o de plano descartar el ADS, como este método solo funciona en la maquina en la que realizas el ADS (ya que al mandarlo a otra pc deja de funcionar) habrá alguna forma de hacerlo funcional o compatible para todas las pc's y en los diferentes sistemas operativos (win xp, win vista, win 7) ya que en mis pruebas se usa de manera distinta en xp que en windows 7.
En su momento tambien lei eso y ps hice mis pruebas, tambien noté que solo era funcional en local, aunque algo curioso fue que al tiempo lo volvi a intentar realizar pero no me funcionó, supongo que lo parchearon como es de esperar con un bug así.

PD:Aquí hay un linkk donde se puede leer mas sobre esto:
[Enlace externo eliminado para invitados]
gracias por responder y ese tutorial ya me lo había leído y de hecho fue con el que me guié para hacer mis pruebas
Les comento que al parecer he encontrado como saltar la sendbox de avast y lo he descubierto de la peor manera ya que he detectado que me he infectado con un virus por suerte en mi virtual que nose de que manera se me ha infiltrado sin ue salte el sendbox, estoy investigando de que manera lo ha hecho, al parecer es una una botnet o algun troyano lo importante es que el archivo exe fue programado en vb.net, investigare mas y compartire el curro del con ustedes. #SaludoS
Malware = 00011B
Tengo otra idea, que le parece que hagamos otro Estudio de investigación que tal si analizamos las firmas.

Por ejemplo las de tipo hexa es el mismo método que hacer modding por así decirlo y ver que llamada a función o que strings o que otra mierda es lo que esta pillando.

esto de investigar podriamos hacer una especie de revista de la comunidad con estos temas de investigación y no vengan con el puto cuento que es para mi beneficio mejores cosas hago por este foro

ustedes comentaran

saludos
Imagen
en el msn ♣Conejo escribió:[26/03/11 10:39:13] Su firma contiene 281 caracteres. El máximo número de caracteres permitidos es 200.
menos mal que soy admin
Bueno no se si esto interesa, me dio por hacer pruebas dentro de la sandbox y me soplo un pantallazo azul, y me reinicio el ordenador, y repeti el proceso pero con un proyecto en blanco de delphi, que guarde en el escritorio.

Voy al ejecutable y le doy con el secundario, y marco "siempre ejecutar virtualmente", de doy doble click y me sale la ventanita con la cuenta atras que no deberia salir pues quiero que se ejecute en la sandbox, y cuando se cierra y se abre la siguiente clicko en continuar y me peta.

Tengo win7 64bits y la ultima version de avast internet security, con unos dias de prueba que me dio la version gratuita.


Y lo de saltar el md5, igual no habria que saltarlo te puedes hacer un programa que se comporte como un keygen durante unos meses, que pete en la sandbox para que gane reputacion al ejecutarlo fuera y cuando llege una determinada fecha se comporte como un downloader, avfucker, binder,... (vamos la bomba logica de toda la vida).

Pero seguro que se quemaria rapido cada cual tendria que programarse el suyo , o al menos ganar su propia reputación cambiando un byte.
Imagen
Yo estaba apagando el pc con el paint abierto, habia dibujado un unicornio [WTF Son bromas lo del unicornio] pues como no habia guardado apague el pc para irme a dormir en eso windows se empieza a cerrar y me pregunta deseas finalizar las siguientes tareas?
puse cancelar, y se fue el avast lo bueno? se fue el avast pero se queda la proteccion de archivos, pero la querida sandbox no me salta :P
creo que seria algo tipo como:

Shutdown -R y luego un sleep de 5000 y darle Shutdown -a
pero con el paint dibujado o un bloc de notas con letras o algo bueno yo doy ideas y quien quiera la desarrolla :P
Veterano

Las apariencias engañan.
Slore: escribió: Yo estaba apagando el pc con el paint abierto, habia dibujado un unicornio [WTF Son bromas lo del unicornio] pues como no habia guardado apague el pc para irme a dormir en eso windows se empieza a cerrar y me pregunta deseas finalizar las siguientes tareas?
puse cancelar, y se fue el avast lo bueno? se fue el avast pero se queda la proteccion de archivos, pero la querida sandbox no me salta :P
creo que seria algo tipo como:

Shutdown -R y luego un sleep de 5000 y darle Shutdown -a
pero con el paint dibujado o un bloc de notas con letras o algo bueno yo doy ideas y quien quiera la desarrolla :P
El tema esta cuando vuelvas a enceder el pc, aunque le metas un delay de la ostia al server lo infectas, y al tener persistencia cuando avast cargue sus modulos incluido el puto sandbox lo pillara, yo pienso que se vuelve loco este sistema de deteccion en procesos que estan usando demasiada cpu y memoria, al fin y al cabo lo tienes que inyectar en algun proceso, el tema es de alguna forma matar ese modulo de avast, ya que el av en si no coge ni su puta madre, matar ese proceso desde el inicio y que solo rule el av en si, no se si me explico.

Saludos
Imagen

Volver a “Mensajes Entre Nosotros”