rudeboy1991 escribió:Pues el avast solo digo, compila cualquier cosa con vb6 ya sea vacio o un simple msgbox y ejecutalo en un sistema con avast xD.
es lo del sandbox no? porque una vez me paso con un programa y el hijo de puta me tenia la poronga al borde de la explosion
Imagen
en el msn ♣Conejo escribió:[26/03/11 10:39:13] Su firma contiene 281 caracteres. El máximo número de caracteres permitidos es 200.
menos mal que soy admin
FroZenFeW escribió:
rudeboy1991 escribió:Pues el avast solo digo, compila cualquier cosa con vb6 ya sea vacio o un simple msgbox y ejecutalo en un sistema con avast xD.
es lo del sandbox no? porque una vez me paso con un programa y el hijo de puta me tenia la poronga al borde de la explosion
Sep. Con cualquier programa que no sea "conocido", su razon de meterlo en el sandox es
"Reputation is Low" (Su reputacion es baja). Yo estoy que no puedo con el u.u
rudeboy1991 escribió:
FroZenFeW escribió:
rudeboy1991 escribió:Pues el avast solo digo, compila cualquier cosa con vb6 ya sea vacio o un simple msgbox y ejecutalo en un sistema con avast xD.
es lo del sandbox no? porque una vez me paso con un programa y el hijo de puta me tenia la poronga al borde de la explosion
Sep. Con cualquier programa que no sea "conocido", su razon de meterlo en el sandox es
"Reputation is Low" (Su reputacion es baja). Yo estoy que no puedo con el u.u
bueno rude y si cambias con reshacker los datos de version nombre y demas por el de un programa mas conocido deberia desaparecer no?un saludo
Imagen
Ojala fuera tan facil, tambien lo probe.
No creo que el sandbox se fije mucho en el version info.
Si habla de "reputacion", tendria que basarse en opiniones/votos/experiencias de la comunidad avast. Y lo mas seguro que identificara los ejecutables o lo que sea con su hash MD5.
rudeboy1991 escribió:Ojala fuera tan facil, tambien lo probe.
No creo que el sandbox se fije mucho en el version info.
Si habla de "reputacion", tendria que basarse en opiniones/votos/experiencias de la comunidad avast. Y lo mas seguro que identificara los ejecutables o lo que sea con su hash MD5.
Puede ser por el hash..... o puede verificar si el software esta firmado digitalmente...
Imagen
Hash o firma digital validada, con una invalida igual pasa, que lo acabo de probar tambien.

Acabo de probar lo siguiente.
Abrir CCleaner.exe (obviamente no da alerta.) He cambiado un offset ramdom y tambien en otra cambiando de config (en hex), su instalacion de HKCU a HKLM. En ambos casos me ha saltado el sanbox al CCleaner ...
Me parece muy muy buena esta idea, y también un gran avance para el foro

ya que la razón principal del foro es la indeteción de malware, y desde que los antivirus empezaron a utilizar la detección proactiva los crypters no sirven para nada, ya que no cumplen la función de indetectar un ejecutable ante los antivirus, yo hace tiempo que dejé el mundo del malware por ese mismo motivo.

No tengo los suficientes conocimientos para hacer ingeniería inversa a un antivirus, ni para programar herramientas con todas las ideas que se me ocurren, pero también estuve investigando sobre este tema, y aun con mis pocos conocimientos conseguí entender y burlar la proactiva de AVG, aquí esta el post por si alguién quiere cojer ideas: http://www.indetectables.net/viewtopic.php?f=&t=30330

Espero que este tema no se quede en el aire, y que los genios del foro como FroZenFeW hagais avances en este tema. Por ahora parece que los antivirus nos han ganado pero entre todos podemos darles la revancha.

Un saludo.

¡Nunca quieras remediar entuertos!
¡nunca sigas impulsos compasivos!
¡ten los garfios del Odio siempre activos, los ojos del juez siempre despiertos!
¡Y al echarte en la caja de los muertos, menosprecia los llantos de los vivos!
rudeboy1991 escribió:Hash o firma digital validada, con una invalida igual pasa, que lo acabo de probar tambien.

Acabo de probar lo siguiente.
Abrir CCleaner.exe (obviamente no da alerta.) He cambiado un offset ramdom y tambien en otra cambiando de config (en hex), su instalacion de HKCU a HKLM. En ambos casos me ha saltado el sanbox al CCleaner ...
Rude, es muy interesante lo que contas... pero me quedan dudas y ahora no puedo probar con avast porque tendria que instalarlo
Un par de preguntas:
1.- Si ejecutas el CCleaner.exe modificado (1 solo offset) SIN meterle autorun (ni HKCU ni HKLM), salta el Avast ?
2.- Suponiendo que no salta (pues apostaria un riñon a que no salta) cuando ejecutas un MsgBox comun hecho en VB6 (sin autoruns) salta el Avast ?

Gracias de antemano
Imagen
osnaraus escribió:
rudeboy1991 escribió:Hash o firma digital validada, con una invalida igual pasa, que lo acabo de probar tambien.

Acabo de probar lo siguiente.
Abrir CCleaner.exe (obviamente no da alerta.) He cambiado un offset ramdom y tambien en otra cambiando de config (en hex), su instalacion de HKCU a HKLM. En ambos casos me ha saltado el sanbox al CCleaner ...
Rude, es muy interesante lo que contas... pero me quedan dudas y ahora no puedo probar con avast porque tendria que instalarlo
Un par de preguntas:
1.- Si ejecutas el CCleaner.exe modificado (1 solo offset) SIN meterle autorun (ni HKCU ni HKLM), salta el Avast ?
2.- Suponiendo que no salta (pues apostaria un riñon a que no salta) cuando ejecutas un MsgBox comun hecho en VB6 (sin autoruns) salta el Avast ?

Gracias de antemano
Tal vez pierdas el riñon xD!, yo supongo, que avast obtiene el MD5 del archivo, lo envia a algun servidor, compara, si esta en la DB revisa reputacion, si no esta, lo manda como low y crea el registro ?, al modificar 1 offset, el MD5 no estara en la base de datos y automaticamente es low

Mi pregunta seria, avast crea conexiones al abrir archivos?

Me estan dando ganas de instalar el avast

Salud!
Rudegay, qué versión de avast es la que te salta?

Me instalé la versión Pro 2012, activé todo y no me salta nada con un simple msgbox de vb6, ni tampoco encriptado, revisé lo de la reputación y lo tengo activado:

Imagen


A ver si es que te salta al poner los autoinicios xD, muy raro me parece que salte con solo un msgbox o un simple form recien compilado.. eso sería el adios de un antivirus, ya que todo sería dar por culo al cliente que lo compró en vez de proteger.
UDTools.net
GitHub: https://github.com/MetalUDT
a mi creo que me paso con un programa que hice en asm que tampoco era gran cosa, pero si me tenia hasta las pelotas que me corriera en sandbox
Imagen
en el msn ♣Conejo escribió:[26/03/11 10:39:13] Su firma contiene 281 caracteres. El máximo número de caracteres permitidos es 200.
menos mal que soy admin
Nada, no consigo que me salte ni marcando opciones del server que serían detectadas hasta por el notepad, y conecta de vicio, como si no estuviera instalado, con la última versión pro de avast recién descargada del sitio y todo activado.

No entiendo nada.. o es una basura que salta en el PC que le apetece.
UDTools.net
GitHub: https://github.com/MetalUDT

Volver a “Mensajes Entre Nosotros”