Saludos, he logrado indetectar el archivo del nod32, pero? al ejecutarlo si lo detecta porque? que tip puedo utlizar para que no lo detecte al ser ejecutado
Los avs tienen algo que se llama heurística, la del nod lee la memoria cuando el ejecutable esta desencriptado en ella,suerte
Elargrt escribió:Los avs tienen algo que se llama heurística, la del nod lee la memoria cuando el ejecutable esta desencriptado en ella,suerte
Conoces al metodo para heuristica para aprenderlo y aplicarlo?
La heurística es la detección de un patrón conocido, ejemplo todo lo que hace un server(crear claves de registro, se autocopia y crea carpetas en donde se instalará, la inyección en procesos,etc).

Si tú fueras un antivirus :
Lo primero que harías es leer el archivo binariamente,aquí es lo que trabajan los modders eliminando firmas detectadas por AVS si lográs bypassear este primer paso.
El segundo paso del AVS es detección por heurística (Aquí es donde detecta el AV los comportamientos habituales|| normales de un Server). si lográs bypassear este segundo paso.
El tercero es el más complicado porque aquí el server es leído en memoria sin ofuscar es decir como si no hubieras utilizado un crypter a parte tienen hookeadas varias apis utilizadas por los Runpe.

Si estoy equivocado en algún concepto de los explicados que me corrijan.
Imagen
tecnico_omar escribió:
Elargrt escribió:Los avs tienen algo que se llama heurística, la del nod lee la memoria cuando el ejecutable esta desencriptado en ella,suerte
Conoces al metodo para heuristica para aprenderlo y aplicarlo?
se usa Darkoment con un crypter indetectables a nod32 con inyección se inyecta en un proceso saca la memoria de nod32
si luchas puedes perder si no luchas estas perdido
Neutrox escribió:La heurística es la detección de un patrón conocido, ejemplo todo lo que hace un server(crear claves de registro, se autocopia y crea carpetas en donde se instalará, la inyección en procesos,etc).

Si tú fueras un antivirus :
Lo primero que harías es leer el archivo binariamente,aquí es lo que trabajan los modders eliminando firmas detectadas por AVS si lográs bypassear este primer paso.
El segundo paso del AVS es detección por heurística (Aquí es donde detecta el AV los comportamientos habituales|| normales de un Server). si lográs bypassear este segundo paso.
El tercero es el más complicado porque aquí el server es leído en memoria sin ofuscar es decir como si no hubieras utilizado un crypter a parte tienen hookeadas varias apis utilizadas por los Runpe.

Si estoy equivocado en algún concepto de los explicados que me corrijan.
Mas o menos
Las compañias de antivirus lo que buscan es neutralizar las amenazas lo antes posible, pongo un ejemplo de lo que hacen en cada momento:
Les llega una muestra en binario, la analizan, ven que es malware y firman una seccion en binario, eso es la heuristica y lo que se quita moddeando y tocando los offsets.
Otra medida es la deteccion de patrones genericos, lo que tu has explicado, eso se llaman medidas proactivas
Luego ademas algunos avs, los mas sofisticados, son capaces de analizar en ring0 la memoria, por eso los cripters genericos cada vez son menos efectivos, y una forma de hacer bypass a ese metodo es como thecruz publico, restringes el acceso del av a la memoria, pero si no lo pilla ahi pilla el rat por los patrones y la proactiva, pero eso tampoco es muy dificil de solucionar. ojala fuese tan facil todo xD

Saludos
666699966999999996699966699999
666699966999999996699966969999
699999966999999996699966996999
666699966999999996699966999699
666699966999999996699966999699
699999996699999966999966996999
699999999669999669999966969999
699999999996666999999966699999
https://reversecodes.wordpress.com

http://indeseables.github.io/
SadFud escribió:
Neutrox escribió:La heurística es la detección de un patrón conocido, ejemplo todo lo que hace un server(crear claves de registro, se autocopia y crea carpetas en donde se instalará, la inyección en procesos,etc).

Si tú fueras un antivirus :
Lo primero que harías es leer el archivo binariamente,aquí es lo que trabajan los modders eliminando firmas detectadas por AVS si lográs bypassear este primer paso.
El segundo paso del AVS es detección por heurística (Aquí es donde detecta el AV los comportamientos habituales|| normales de un Server). si lográs bypassear este segundo paso.
El tercero es el más complicado porque aquí el server es leído en memoria sin ofuscar es decir como si no hubieras utilizado un crypter a parte tienen hookeadas varias apis utilizadas por los Runpe.

Si estoy equivocado en algún concepto de los explicados que me corrijan.
Mas o menos
Las compañias de antivirus lo que buscan es neutralizar las amenazas lo antes posible, pongo un ejemplo de lo que hacen en cada momento:
Les llega una muestra en binario, la analizan, ven que es malware y firman una seccion en binario, eso es la heuristica y lo que se quita moddeando y tocando los offsets.
Otra medida es la deteccion de patrones genericos, lo que tu has explicado, eso se llaman medidas proactivas
Luego ademas algunos avs, los mas sofisticados, son capaces de analizar en ring0 la memoria, por eso los cripters genericos cada vez son menos efectivos, y una forma de hacer bypass a ese metodo es como thecruz publico, restringes el acceso del av a la memoria, pero si no lo pilla ahi pilla el rat por los patrones y la proactiva, pero eso tampoco es muy dificil de solucionar. ojala fuese tan facil todo xD

Saludos
Algunos comportamientos detectados
Copiarse así mismo.->Copiar el archivo por partes, luego ensamblalo con vbs o bat u otro exe
Copiarse a si mismo y agregar al registro el exe destino->Que lo haga otro exe o bat o vbs
Leer un archivo que usa EOF o resources y ejecutarlo en memoria ->Extraer el archivo encryptado a disco y jugar con el fingiendo estás realizando una tarea cualquiera.

etc etc

Otra cosa que he visto es que AVAST por ejemplo ya no deja matar sus procesos aun siengo ring0
Bastante interesante lo que decis,otra manera que he leido ultimamente es hacer ingenieria inversa a los av para ver como analizan los malawares y detectando esos patrones hacer que el malware se interrumpa ante eso de manera que el av no lo pueda analizar en runtime, como por ejemplo que inyecte determinados modulos o procesos o comprobar el nombre del ejecutable,esto lo hacen algunos crypters que bypassean todas las proactivas.
(tocando el tema del server , que es lo detectado en memoria y olvidandonos de los crypters que funcionan tan bien como el primer dia)
se va cambiando el codigo sobre la marcha y se analiza hasta dejarlo ok
para indetectar la inyeccion use este metodo http://www.indetectables.net/viewtopic.php?f=83&t=10231 , y se traspaso a nod y avira
tambien cambiar los comandos fijos que se envian "activekeyloger" por "activandoelkey"
cambiar la clave de encriptacion
cambiar el nombre del recurso xxxxxx por serverjoselin

etc
etc
etc
es mas facil de lo que se cree la diferencia se hace con el conocimiento y las ganas
paresco malo ,pero soy bueno
Responder

Volver a “Dudas y Preguntas”