• Una Pregunta ya que somos los pioneros en el ......continua

  • Sección libre del foro. Puedes presentarte, comentar temas actuales del mundo informático o lo que sea de tu agrado.
Sección libre del foro. Puedes presentarte, comentar temas actuales del mundo informático o lo que sea de tu agrado.
 #372735  por verybadboy1982
 11 Jun 2012, 14:47
Bin4riO escribió:Lo logro saltar fácilmente, otra ayuda lo pueden hacer desde el código o desde el binario también, pero obvio no lo voy a decir todo aca :) Saludos
Xreo que es importante aqui...COMPARTIR conocimientos no?? sino mejor no comentar, aqui se puede decir yo se hacer muxas cosas, que alomjor desconosco solo por decir lo se hacer...asi que si fuera cierto lo bueno es que lo podamos ver y compartir no?? como hacen muchhos compis en el foro. Saludos
 #372754  por s7evin
 11 Jun 2012, 16:22
Me acabo de instalar el Avast en una MV. Al principio cada binario (una simple Ventana de Windows) que intentaba ejecutar me saltaba el SandBox; después de reiniciar la MV ya no salta el SandBox (está configurado en "Preguntar")... no sé si estaré haciendo algo incorrecto...

Por otro lado, si que veo que cada vez que ejecuto alguna aplicación Avast realiza una conexión con sus servidores (como bien habéis explicado).
 #372801  por WinDeath
 11 Jun 2012, 21:07
verybadboy1982 escribió:
Bin4riO escribió:Lo logro saltar fácilmente, otra ayuda lo pueden hacer desde el código o desde el binario también, pero obvio no lo voy a decir todo aca :) Saludos
Xreo que es importante aqui...COMPARTIR conocimientos no?? sino mejor no comentar, aqui se puede decir yo se hacer muxas cosas, que alomjor desconosco solo por decir lo se hacer...asi que si fuera cierto lo bueno es que lo podamos ver y compartir no?? como hacen muchhos compis en el foro. Saludos
Cada uno es libre de compartir o no, pero sería bueno saber si es cierto lo que comenta Bin4riO y seguir esa línea de investigación, aunque no lo diga todo públicamente. Hay empresas de antivirus interesadas en conocer como se desarrollan temas como estos en la red.

Yo creo que lo mejor es que posteemos como se comporta el antivirus cuando lo maltratamos,así ahorramos tiempo en pruebas y que cada uno saque sus conclusiones y trabaje en una solución con la información sacada de aquí.
s7evin escribió:Me acabo de instalar el Avast en una MV. Al principio cada binario (una simple Ventana de Windows) que intentaba ejecutar me saltaba el SandBox; después de reiniciar la MV ya no salta el SandBox (está configurado en "Preguntar")... no sé si estaré haciendo algo incorrecto...

Por otro lado, si que veo que cada vez que ejecuto alguna aplicación Avast realiza una conexión con sus servidores (como bien habéis explicado).
Mira a ver si haces la primera ejecución antes que se conecte la VM a internet, porque si es así, las demás veces que lances el ejecutable, no salta el SandBox.

A mi me salta tanto en "Auto" como "Preguntar".
 #372859  por Bin4riO
 12 Jun 2012, 03:29
Yo ya di una ayuda bastante interesante, para los que usan el código les puedo decir que todo va en la ruta de compilación del proyecto y donde esta guardado el mismo, en cuanto a compartirlo TODO acá sería una estupidez de mi parte y lo digo porque me costo encontrarle la vuelta y lo hice yo solo sin ayuda de nadie y lo mas importante se iría mi trabajo a la &&%%$ por unos pocos bobos. Yo estoy para "Hacer la comida" no para "Dárselas en la Boca" Saludos
 #372933  por s7evin
 12 Jun 2012, 13:27
WinDeath escribió: Mira a ver si haces la primera ejecución antes que se conecte la VM a internet, porque si es así, las demás veces que lances el ejecutable, no salta el SandBox.

A mi me salta tanto en "Auto" como "Preguntar".
Ya lo solucioné, thx! Solo que cuando me salta y le doy a ejecutar en el SndB, las siguientes veces no me salta más, supongo que guardará la opción escogida...

PD: Si se utiliza una librería, el SndB ni se inmuta... interesante :)
 #373379  por bloodday
 14 Jun 2012, 17:25
holas!!! como van por aqui??

como quedaron con la propuesta de Frozen?? (pd: frozen es rarito)

saludos
 #373389  por adwind
 14 Jun 2012, 19:16
Slore escribió:
Sir José escribió:
Tifro escribió:Pues yo ya no se como configurarlo y siempre salta el puñetero sandbox del avast este.
Ya no se que configuracion mas probar,voy a darle un descansito de unos dias y volvere a probar porque me tiene ya kemado.Jejejejeje
Se aceptan sujerencias.

Yo no sabia a que punto andaba el avast, la configuracion y nombre del serve solo sirbe a los demas....esta cosa de encryptar troyanos no serbira de nada luego..luego....lo siento pero es la verdad.
Exactamente...
Estoy creando un nuevo iceberg pero este no es esa miarda que sacamos xD este es la p0ll4 limonera xD ise que las llaves de registro se borren y asi al iniciar sesion taran! xD sin av + encima el iceberg bloquea procesos...
mas que le puse protección para no eliminarse
y 4 mil propagaciones entre ellas alguna privada que me pasaron :$ yo creo que mxos de nosotros ya sabemos que viene... y que loos crypters ya son el pasado... la heuristica lo detecta todo... y hay que tenerlo en cuenta ya no es el siglo 20 xd
por los demas comentarios me parecen bn :P

Quiero ver como tu iceberg desactiva el kaspersky 2012 ya que este bloque sus llaves de registro, los archivos de su directorio y hasta sus procesos XD ni con provilegio SYSTEM se puede matar. Hasta el momento he encontrado 2 fallos para mandarlo a la mierda. Estoy hablando en windows vista hacia arriba
1.- Elevar privilegios system, posteriormente entre sus archivos renombrar el avp.exe
y avp.com y en el proximo reinicio ya no se ejecutara

2.- Hay una llave en el registro que solo dire su key es debug en el cual nosotros colocamos avp.exe y ese proceso lo podemos redirigir a otro proceso. ejemplo cuando se ejecute avp.exe se ejecutara explorer.exe, por lo tanto el kas quedaria inservible completamente. Pero se seria afectado todos los procesos que se llamen avp.exe, no se si sea bug o algun error de programacion.
 #385115  por nothingHERE
 20 Ago 2012, 23:43
Acabo de crear un ejecutable que detecta si el archivo se ejecuta bajo el autosandbox o no.
Es un mesageBox que dice "autosandbox = 0" cuando se ejecuta normal.
"autosandbox = 1" cuando se ejecuta en el autosandbox.

Necesito algun tester en TODOS los sistemas operativos.

De momento está probado en WindowsXP 32bits, W7 64 bits.
Si alguien tiene la w8 aunque sea sin avast que lo pruebe, porque igual falla y dice que hay sandbox

Si quereis el code incluirme en el tema privado, si no, pues nada
Podeis fiaros de mi, de momento no hago muchos aportes, pero soy de confianza
Aqui el link del ejecutable:[ Debe registrarse para ver este enlace ]

Salu2

pd: si mucha gente lo descarga, el avast dejara de meterlo en el sandbox, aunque no creo que pase
 #385121  por orlando9427
 20 Ago 2012, 23:55
Compañero, no es por desairarte pero con chantajes no se llega a la zona privada, si bien tu programa funciona bien; hay varias maneras de encontrar como funciona xD.

La decisión la toma la Administración.

Saludos!
 #385208  por Thor
 21 Ago 2012, 09:10
nothingHERE enumeras las ventanas y si alguna se llama "Program", "SystemTray_Main" o "Shell_TrayWnd" determinas que el programa no está en una Sandbox.
¿Por qué?
Supongo que desde una sandbox no se deja acceder a estas "ventanas".
¿Alguien puede confirmarlo?

 #385221  por nothingHERE
 21 Ago 2012, 13:27
Ya se que con el olly podiaiis encontrarlo, por eso no le pase un crypter.

Lo primero que intente era encontrar el nombre de la ventana que aparece al ejecutar un archivo en sandbox, asi que hize un listado con todas las ventanas.

Que paso? Pues que aparecia una con un nombre raro, y alguna relacionada con drivers del sistema, en total 5 ventanas en mi pc (incluyendo ocultas), cuando si lo ejecutas sin sandbox hay tropecientas ventanas ocultas del SO.

Entonces es muy facil detectarlo, todos los so de windows tienen la barra de tareas, barra de iconos, y lo de menu no se exactamente que ventana es, pero existe en w7 y xp.

Esa es la razon de que quiero que lo probeis en w8 y vista, en vista me la juego a que existen esas ventanas, pero en w8 ya ni idea, pero algo es algo :)

Sobre la zona privada ya se que es decicision de los admin, pero me interesaria bastante ayudar en esa zona, tampoco me interesa que mis descubrimientos se vayan a la ....


Estoy seguro que hay otras formas de detectarlo al sandbox, esa es la primera que encontre.

Tambien tengo otra idea para evitar el sandbox, avast envia a su servidor el hash del archivo, si construimos un proggrama que envie pe. 1000 veces ese hash, el programa pasara a ser de confianza, pero mis conocimientos con wireshark son de noob, (todavia).

Salu2
 #385234  por orlando9427
 21 Ago 2012, 15:13
Buena forma, yo me estaba liando con tamaño de funciones, punteros y espacio virtual
Lo wireshark dejame darle un vistazo mas.
 #385286  por osnaraus
 21 Ago 2012, 20:31
nothingHERE escribió:quiero que lo probeis en w8 y vista
Tested on Vista 32 Bits:

1) SandBox no ha saltado... Resultado: (MessageBox=0)
2) Cambiando un offset par "forzar" la sandbox (MessageBox=1)

Felicitaciones

Falta el testeo en W8... haber algun alma caritativa que lo tenga...
 #385309  por nothingHERE
 22 Ago 2012, 00:23
¿Tan rapido lo deja de meter en sandbox?
Dudo mucho que llegara a las supuestas 200 ejecuciones que lei en internet...

En un crypter personal acabo de incluir una funcion que muestra una ventana fake de avast, diciendo que el archivo esta limpio, e incitando a pulsar continuar con la ejecucion

Salu2

p.d: gracias por la confirmacion de win. vista!
 #385384  por nothingHERE
 22 Ago 2012, 16:41
Acabo de encontrar otra funcion, que debería ser más fiable.

C
Código: [ Debe registrarse para ver este enlace ]
if(GetModuleHandle("snxhk.dll")) printf("Dentro del sandbox");
else printf("Fuera del sandbox");
Se inyecta esa dll en el ejecutable metido en la sandbox.
El codigo no necesita explicacion

Salu2!!
  • 1
  • 11
  • 12
  • 13
  • 14
  • 15