rudeboy1991 escribió:Avast primero mira el hash y si es conocido ya lo ejecuta. Pero tu tool no es conocida (es decir, no se ha ejecutado en unos 200 pcs), asique no saltaria.


Ahora una cosa que me acaba de venir a la cabeza.

A la gente que no les saltaba el sandbox al abrir un simple formulario compilado quienes eran?
Y donde tenian instalados en vb6?

Lo digo, porque si compilo un proyecto1 defualt (es decir, abro vb6, standard exe, y compilar) desde el vb6 de la carpeta de instalacion por defecto, no me salta el sandox. ¿Porque? Pues porque habran miles de usuarios que tienen a vb6 instalados en la carpeta por defecto y ejecutan al principio con F5 un code en vacio. Este MD5 ya esta guardado en el filerep de avast.

Ahora si instalas vb6 en una ruta que no sea la de defecto, ya el MD5 de un simple formulario cambia. Ya que cambia en el exe la ruta del proyecto y plaf. Avast no lo conoce.

Entonces tiene que ser por MD5 y no por firmado digital ni nada.

Con lo que he dicho aclarara a mucha gente muchas cosas.

Esto no tiene que ver con la config de servidor ni nada parecido. Ni donde lo abres ni nada.
Pues se instalan 1 en la ruta original y en un Vware en otra ruta y se ejecutan los 2 por probar! haver que pasa!
pero rude tu quieres decir?
Yo lo tengo en otra ruta D:\PROGRAMASINSTALADAS\VB6
y claro, al compilar un proyecto normal sin codigo, me salta el sandbox.

Pero hay gente que compila un proyecto normal sin codigo aqui y no les salta. Y quiero saber lo tienen instalada en su ruta por defecto, y siendo asi su Hash sera distinto al mio.
rudeboy1991 escribió:Yo actualmente puedo bypassear todas las proactivas menos el filerep de avast. Hace 1 mes, si me saltaba el sandob de avast, ya que no contaba con su sistema de filerep en el sandbox en el sandbox de avast esta lo siguiente: "static analysis", "the file origen/souce is suspicious" "the file is executed form remote "generic heuristics" "the file reputatation".

Bit defender, avg, kavpersky, comodo, gdata, norton, avast (menos "the file reputation") son todas bypaseables con ideas que ya hay en el foro mil veces, y esas ideas son facil de implementarlos en un crypter, solo es saber un poco (y no ripear), de como hacer el code en el leguange que te lo planteas.
No es nada del otro mundo.

Sin embargo, esta ultima implementacion malisima de avast ya me tiene los huevos negros. A ver si los usuarios de avast siguen quejandose en el foro de avast y lo quitan jaja.
Jajajajaja.Pues nada a quejarme en el foro de avast se a dicho,todo sea porque no se te pongan los huevos negros.Jajajajaja
rudeboy1991 escribió:Yo lo tengo en otra ruta D:\PROGRAMASINSTALADAS\VB6
y claro, al compilar un proyecto normal sin codigo, me salta el sandbox.

Pero hay gente que compila un proyecto normal sin codigo aqui y no les salta. Y quiero saber lo tienen instalada en su ruta por defecto, y siendo asi su Hash sera distinto al mio.
Bro....no se se eso hace sentido...pues mi Borland Delphi es en "D:" y un simple form sin codigo no lo salta....como dice polifemo, "salta en la jugular del exe" pero bueno...no se mas que decir este av esta paranoico....hay veces que salta el offset locator....y otras que no lo salta.....no se!
"Hay que endurecerse, pero sin perder la ternura jamás." Che Guevara.
Sir José escribió:
rudeboy1991 escribió:Yo lo tengo en otra ruta D:\PROGRAMASINSTALADAS\VB6
y claro, al compilar un proyecto normal sin codigo, me salta el sandbox.

Pero hay gente que compila un proyecto normal sin codigo aqui y no les salta. Y quiero saber lo tienen instalada en su ruta por defecto, y siendo asi su Hash sera distinto al mio.
Bro....no se se eso hace sentido...pues mi Borland Delphi es en "D:" y un simple form sin codigo no lo salta....como dice polifemo, "salta en la jugular del exe" pero bueno...no se mas que decir este av esta paranoico....hay veces que salta el offset locator....y otras que no lo salta.....no se!
Me ha dado la curiosidad y he vuelto a instalar VB6 con opciones por defecto y una vez compilado un simple form lo he ido moviendo por distintas carpetas. Si se ejecuta dentro de /microsoft visual studio/ y subcarpetas no salta el sandbox, pero si llevo ese mismo archivo a otro sitio, si salta. El hash debe ser el mismo no? no depende de la carpeta donde se ejecuta ¿o si?. Creo que no se trata sólo de un hash

Otra cosa, ejecuto un server (bifrost) encriptado y salta en todos lados. Mañana voy a probar con un stub indetectado al avast dentro de la carpeta de visual studio, porque tengo ya el icono del avast grabado a fuego en mi retina y no me gusta la sensación...

En cuanto al offset locator, a mi me lo mandaba al sandbox hace un par de días y hoy no. ¿Será que somos muchos haciendo pruebas y se ha alcanzado el número mínimo de ejecuciones para dejar de considerarlo de reputación baja? yo creo que si.
WinDeath escribió:
Sir José escribió:
rudeboy1991 escribió:Yo lo tengo en otra ruta D:\PROGRAMASINSTALADAS\VB6
y claro, al compilar un proyecto normal sin codigo, me salta el sandbox.

Pero hay gente que compila un proyecto normal sin codigo aqui y no les salta. Y quiero saber lo tienen instalada en su ruta por defecto, y siendo asi su Hash sera distinto al mio.
Bro....no se se eso hace sentido...pues mi Borland Delphi es en "D:" y un simple form sin codigo no lo salta....como dice polifemo, "salta en la jugular del exe" pero bueno...no se mas que decir este av esta paranoico....hay veces que salta el offset locator....y otras que no lo salta.....no se!
Me ha dado la curiosidad y he vuelto a instalar VB6 con opciones por defecto y una vez compilado un simple form lo he ido moviendo por distintas carpetas. Si se ejecuta dentro de /microsoft visual studio/ y subcarpetas no salta el sandbox, pero si llevo ese mismo archivo a otro sitio, si salta. El hash debe ser el mismo no? no depende de la carpeta donde se ejecuta ¿o si?. Creo que no se trata sólo de un hash

Otra cosa, ejecuto un server (bifrost) encriptado y salta en todos lados. Mañana voy a probar con un stub indetectado al avast dentro de la carpeta de visual studio, porque tengo ya el icono del avast grabado a fuego en mi retina y no me gusta la sensación...

En cuanto al offset locator, a mi me lo mandaba al sandbox hace un par de días y hoy no. ¿Será que somos muchos haciendo pruebas y se ha alcanzado el número mínimo de ejecuciones para dejar de considerarlo de reputación baja? yo creo que si.
Acabo de testear un server encryptado con el Cogote y bypassea todas las protecciones del Avast si el encryptado està dentro de la Carpeta de Visual Studio
Imagen
osnaraus escribió:
WinDeath escribió:
Sir José escribió:
rudeboy1991 escribió:Yo lo tengo en otra ruta D:\PROGRAMASINSTALADAS\VB6
y claro, al compilar un proyecto normal sin codigo, me salta el sandbox.

Pero hay gente que compila un proyecto normal sin codigo aqui y no les salta. Y quiero saber lo tienen instalada en su ruta por defecto, y siendo asi su Hash sera distinto al mio.
Bro....no se se eso hace sentido...pues mi Borland Delphi es en "D:" y un simple form sin codigo no lo salta....como dice polifemo, "salta en la jugular del exe" pero bueno...no se mas que decir este av esta paranoico....hay veces que salta el offset locator....y otras que no lo salta.....no se!
Me ha dado la curiosidad y he vuelto a instalar VB6 con opciones por defecto y una vez compilado un simple form lo he ido moviendo por distintas carpetas. Si se ejecuta dentro de /microsoft visual studio/ y subcarpetas no salta el sandbox, pero si llevo ese mismo archivo a otro sitio, si salta. El hash debe ser el mismo no? no depende de la carpeta donde se ejecuta ¿o si?. Creo que no se trata sólo de un hash

Otra cosa, ejecuto un server (bifrost) encriptado y salta en todos lados. Mañana voy a probar con un stub indetectado al avast dentro de la carpeta de visual studio, porque tengo ya el icono del avast grabado a fuego en mi retina y no me gusta la sensación...

En cuanto al offset locator, a mi me lo mandaba al sandbox hace un par de días y hoy no. ¿Será que somos muchos haciendo pruebas y se ha alcanzado el número mínimo de ejecuciones para dejar de considerarlo de reputación baja? yo creo que si.
Acabo de testear un server encryptado con el Cogote y bypassea todas las protecciones del Avast si el encryptado està dentro de la Carpeta de Visual Studio

osni donde esta instalado tu VS?digo esta por defecto otro local?
"Hay que endurecerse, pero sin perder la ternura jamás." Che Guevara.
Con el siguiente orden de operaciones, tampoco me salta el sandbox con el form:

1.- Mover/copiar el form de cualquier carpeta a otra.
2.- Desconexión de internet
3.- Ejecutar sin cerrar.
5.- Reconexión a internet.
6.- Cerrar y ejecutar las veces que quiera.

Sería interesante ver que pasa con el server encriptado...
WinDeath escribió:Con el siguiente orden de operaciones, tampoco me salta el sandbox con el form:

1.- Mover/copiar el form de cualquier carpeta a otra.
2.- Desconexión de internet
3.- Ejecutar sin cerrar.
5.- Reconexión a internet.
6.- Cerrar y ejecutar las veces que quiera.

Sería interesante ver que pasa con el server encriptado...
Pero este programa desde donde lo ejecutas?, desde cualquier ubicacion?, por el paso 2, pienso que si

@Hash @Osni, claro, no hay que suponer que el hash sea MD5, podria ser cualquiera, y si con los enlaces que posteaste el MD5 resulta clonable y no creo que arrisguen con un hash "tan debil"

@FileRep; sin internet no salta el filerep cuando menos en mi caso, ya que no tiene donde comparar los Hash, y por lo tanto no me sale low y el sandbox no me salta

@Rutas: yo tengo todo en E:\APPs\ y si me salta

@Abrir EXEs; me saltaron TODOS los crypters que tenia guardadillos y muchas otras aplicaciones

@FRZ; Esperando el analisis del crypter de Metal
Sir José escribió: osni donde esta instalado tu VS?digo esta por defecto otro local?
Instalado en Ruta por defecto, probado en Vista 32 bits. Pero igual seguimos con el mismo problema, ya que el usuario deberia ejecutar el encryptado dentro de esa ruta y eso es imposible.
Imagen
Yo me logro saltar el sandbox de avast lo he implementado en un par de crypters priv8 un poco lo he conseguido yo con investigación y otro poco lo he visto en la red, una ayuda busquen en foros de malware Rusus. Saludos
osnaraus escribió:
Sir José escribió: osni donde esta instalado tu VS?digo esta por defecto otro local?
Instalado en Ruta por defecto, probado en Vista 32 bits. Pero igual seguimos con el mismo problema, ya que el usuario deberia ejecutar el encryptado dentro de esa ruta y eso es imposible.

si claro no esto todo mundo que hay el vb6 instalado....y los que tiene el instalado....no clican en cuaquier archivo que encuentra en la red. jajajajjajajajajaj
"Hay que endurecerse, pero sin perder la ternura jamás." Che Guevara.
Bin4riO escribió:Yo me logro saltar el sandbox de avast lo he implementado en un par de crypters priv8 un poco lo he conseguido yo con investigación y otro poco lo he visto en la red, una ayuda busquen en foros de malware Rusus. Saludos

estas diciendo que la sandbox no detecta tus stubs? perdon bro.....pero solo creo vendo....


postea uno crypter
"Hay que endurecerse, pero sin perder la ternura jamás." Che Guevara.
Lo logro saltar fácilmente, otra ayuda lo pueden hacer desde el código o desde el binario también, pero obvio no lo voy a decir todo aca :) Saludos

Volver a “Mensajes Entre Nosotros”