Saludos, he logrado indetectar el archivo del nod32, pero? al ejecutarlo si lo detecta porque? que tip puedo utlizar para que no lo detecte al ser ejecutado
Los avs tienen algo que se llama heurística, la del nod lee la memoria cuando el ejecutable esta desencriptado en ella,suerte
Conoces al metodo para heuristica para aprenderlo y aplicarlo?Elargrt escribió:Los avs tienen algo que se llama heurística, la del nod lee la memoria cuando el ejecutable esta desencriptado en ella,suerte
Te refieres a bypassearlo?? el usuario TheCruz compartio uno
La heurística es la detección de un patrón conocido, ejemplo todo lo que hace un server(crear claves de registro, se autocopia y crea carpetas en donde se instalará, la inyección en procesos,etc).
Si tú fueras un antivirus :
Lo primero que harías es leer el archivo binariamente,aquí es lo que trabajan los modders eliminando firmas detectadas por AVS si lográs bypassear este primer paso.
El segundo paso del AVS es detección por heurística (Aquí es donde detecta el AV los comportamientos habituales|| normales de un Server). si lográs bypassear este segundo paso.
El tercero es el más complicado porque aquí el server es leído en memoria sin ofuscar es decir como si no hubieras utilizado un crypter a parte tienen hookeadas varias apis utilizadas por los Runpe.
Si estoy equivocado en algún concepto de los explicados que me corrijan.
Si tú fueras un antivirus :
Lo primero que harías es leer el archivo binariamente,aquí es lo que trabajan los modders eliminando firmas detectadas por AVS si lográs bypassear este primer paso.
El segundo paso del AVS es detección por heurística (Aquí es donde detecta el AV los comportamientos habituales|| normales de un Server). si lográs bypassear este segundo paso.
El tercero es el más complicado porque aquí el server es leído en memoria sin ofuscar es decir como si no hubieras utilizado un crypter a parte tienen hookeadas varias apis utilizadas por los Runpe.
Si estoy equivocado en algún concepto de los explicados que me corrijan.
se usa Darkoment con un crypter indetectables a nod32 con inyección se inyecta en un proceso saca la memoria de nod32tecnico_omar escribió:Conoces al metodo para heuristica para aprenderlo y aplicarlo?Elargrt escribió:Los avs tienen algo que se llama heurística, la del nod lee la memoria cuando el ejecutable esta desencriptado en ella,suerte
si luchas puedes perder si no luchas estas perdido
Mas o menosNeutrox escribió:La heurística es la detección de un patrón conocido, ejemplo todo lo que hace un server(crear claves de registro, se autocopia y crea carpetas en donde se instalará, la inyección en procesos,etc).
Si tú fueras un antivirus :
Lo primero que harías es leer el archivo binariamente,aquí es lo que trabajan los modders eliminando firmas detectadas por AVS si lográs bypassear este primer paso.
El segundo paso del AVS es detección por heurística (Aquí es donde detecta el AV los comportamientos habituales|| normales de un Server). si lográs bypassear este segundo paso.
El tercero es el más complicado porque aquí el server es leído en memoria sin ofuscar es decir como si no hubieras utilizado un crypter a parte tienen hookeadas varias apis utilizadas por los Runpe.
Si estoy equivocado en algún concepto de los explicados que me corrijan.
Las compañias de antivirus lo que buscan es neutralizar las amenazas lo antes posible, pongo un ejemplo de lo que hacen en cada momento:
Les llega una muestra en binario, la analizan, ven que es malware y firman una seccion en binario, eso es la heuristica y lo que se quita moddeando y tocando los offsets.
Otra medida es la deteccion de patrones genericos, lo que tu has explicado, eso se llaman medidas proactivas
Luego ademas algunos avs, los mas sofisticados, son capaces de analizar en ring0 la memoria, por eso los cripters genericos cada vez son menos efectivos, y una forma de hacer bypass a ese metodo es como thecruz publico, restringes el acceso del av a la memoria, pero si no lo pilla ahi pilla el rat por los patrones y la proactiva, pero eso tampoco es muy dificil de solucionar. ojala fuese tan facil todo xD
Saludos
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com
http://indeseables.github.io/
Algunos comportamientos detectadosSadFud escribió:Mas o menosNeutrox escribió:La heurística es la detección de un patrón conocido, ejemplo todo lo que hace un server(crear claves de registro, se autocopia y crea carpetas en donde se instalará, la inyección en procesos,etc).
Si tú fueras un antivirus :
Lo primero que harías es leer el archivo binariamente,aquí es lo que trabajan los modders eliminando firmas detectadas por AVS si lográs bypassear este primer paso.
El segundo paso del AVS es detección por heurística (Aquí es donde detecta el AV los comportamientos habituales|| normales de un Server). si lográs bypassear este segundo paso.
El tercero es el más complicado porque aquí el server es leído en memoria sin ofuscar es decir como si no hubieras utilizado un crypter a parte tienen hookeadas varias apis utilizadas por los Runpe.
Si estoy equivocado en algún concepto de los explicados que me corrijan.
Las compañias de antivirus lo que buscan es neutralizar las amenazas lo antes posible, pongo un ejemplo de lo que hacen en cada momento:
Les llega una muestra en binario, la analizan, ven que es malware y firman una seccion en binario, eso es la heuristica y lo que se quita moddeando y tocando los offsets.
Otra medida es la deteccion de patrones genericos, lo que tu has explicado, eso se llaman medidas proactivas
Luego ademas algunos avs, los mas sofisticados, son capaces de analizar en ring0 la memoria, por eso los cripters genericos cada vez son menos efectivos, y una forma de hacer bypass a ese metodo es como thecruz publico, restringes el acceso del av a la memoria, pero si no lo pilla ahi pilla el rat por los patrones y la proactiva, pero eso tampoco es muy dificil de solucionar. ojala fuese tan facil todo xD
Saludos
Copiarse así mismo.->Copiar el archivo por partes, luego ensamblalo con vbs o bat u otro exe
Copiarse a si mismo y agregar al registro el exe destino->Que lo haga otro exe o bat o vbs
Leer un archivo que usa EOF o resources y ejecutarlo en memoria ->Extraer el archivo encryptado a disco y jugar con el fingiendo estás realizando una tarea cualquiera.
etc etc
Otra cosa que he visto es que AVAST por ejemplo ya no deja matar sus procesos aun siengo ring0
Os dejo un paper bastante interesante.
[Enlace externo eliminado para invitados]
[Enlace externo eliminado para invitados]
Bastante interesante lo que decis,otra manera que he leido ultimamente es hacer ingenieria inversa a los av para ver como analizan los malawares y detectando esos patrones hacer que el malware se interrumpa ante eso de manera que el av no lo pueda analizar en runtime, como por ejemplo que inyecte determinados modulos o procesos o comprobar el nombre del ejecutable,esto lo hacen algunos crypters que bypassean todas las proactivas.
(tocando el tema del server , que es lo detectado en memoria y olvidandonos de los crypters que funcionan tan bien como el primer dia)
se va cambiando el codigo sobre la marcha y se analiza hasta dejarlo ok
para indetectar la inyeccion use este metodo http://www.indetectables.net/viewtopic.php?f=83&t=10231 , y se traspaso a nod y avira
tambien cambiar los comandos fijos que se envian "activekeyloger" por "activandoelkey"
cambiar la clave de encriptacion
cambiar el nombre del recurso xxxxxx por serverjoselin
etc
etc
etc
es mas facil de lo que se cree la diferencia se hace con el conocimiento y las ganas
se va cambiando el codigo sobre la marcha y se analiza hasta dejarlo ok
para indetectar la inyeccion use este metodo http://www.indetectables.net/viewtopic.php?f=83&t=10231 , y se traspaso a nod y avira
tambien cambiar los comandos fijos que se envian "activekeyloger" por "activandoelkey"
cambiar la clave de encriptacion
cambiar el nombre del recurso xxxxxx por serverjoselin
etc
etc
etc
es mas facil de lo que se cree la diferencia se hace con el conocimiento y las ganas
paresco malo ,pero soy bueno
Gracias a todos veo mucha información y muy buena ahora a trabajar.