• Manuales y Tutoriales

  • Aquí puedes postear manuales referentes a malware y herramientas relativas a la tematica del foro.
Aquí puedes postear manuales referentes a malware y herramientas relativas a la tematica del foro.
 #448475  por 4n0nym0us
 10 Jul 2014, 23:41
Quería dejar una pequeña lista que recolectase los métodos genéricos de evasión de firmas antivirus, los cuales he estado escribiendo hasta la fecha. Me gustaría seguir aumentando esta lista, con lo que seguiré actualizando este post con los escritos que vaya realizando en mi blog.

Si tienen ideas para nuevas metodologías con el fin de lograr la evasión de motores antivirus, hablen conmigo y trataré de probarlas y redactarlas. Un saludo y muchas gracias amigos

Método RIT
Con este método de evasión antivirus aprenderás a cómo realizar migraciones de funciones a otros huecos en ensamblador.
[ Debe registrarse para ver este enlace ]

Método DAFE
Este método de evasión antivirus consiste en llevar a cabo la copia de las librerías del sistema operativo, para modificar el nombre real de las mismas por otro nombre para que el malware se comunique con ellas.
[ Debe registrarse para ver este enlace ]

Método DAFE-GUI
Esta se trata de dos herramientas desarrolladas por Osnaraus y Metal_Kingdom, encargadas de llevar a cabo el método DAFE de manera automatizada.
[ Debe registrarse para ver este enlace ]

Método Papelera
Un método muy utilizado por el malware USB, en el cual se explica como una simple carpeta es capaz de adoptar la apariencia de una papelera de reciclaje del sistema.
[ Debe registrarse para ver este enlace ]

Método Mmove
El siguiente método explica cómo realizar migraciones de los nombres de las librerías y APIs que contiene la Import Table, a otros huecos dentro de un ejecutable.
[ Debe registrarse para ver este enlace ]

Cifrar malware a mano
Este método te enseñará a insertar una rutina de cifrado para modificar el aspecto de las secciones ejecutables de un binario. Puede ser utilizado de forma sencilla con los métodos XOR y ROR/ROL, o de forma más compleja como se explica en el blog.
[ Debe registrarse para ver este enlace ]

Evasión de motores heurísticos
En la siguiente entrada se muestra un método muy similar al método RIT, pero enfocado a la migración de funciones de una API o APIs completas.
[ Debe registrarse para ver este enlace ]

Mover el Entry Point
El siguiente POST explica como realizar debidamente una migración del punto de entrada de un ejecutable.
[ Debe registrarse para ver este enlace ]

Evasión de firmas condicionales
La siguiente entrada explica de forma detallada, cómo los antivirus utilizan ciertas formas genéricas para detectar familias de malware. Estas firmas exigen un número de condiciones para dar por válida la detección de un binario, con lo que modificando su lógica será posible realizar la evasión.
[ Debe registrarse para ver este enlace ]

PD: El método BugDLL no he querido incluirlo debido a que tan solo lo hice funcionar en sistemas antiguos como Windows XP, y me gustaría tratar de echarle un vistazo para ver su compatibilidad en W7/8.
 #448483  por Metal_Kingdom
 11 Jul 2014, 00:35
Buena recopilación 4n0, me alegra leerte!

Respecto al bugdll sigue funcionando en Win 7 (y me juego un huevo a que en 8 también), el problema es que algunos antivirus lo tienen cazado (pero no en todos los lenguajes ).

Saludos!
 #448484  por 4n0nym0us
 11 Jul 2014, 00:41
Qué tal Metal_Kingdom! también me alegra verte por aquí y con ese azul que siempre fue tan chulo ;)

NOD32 caía como una mosca con sus "supuestas firmas heurísticas". Pues gracias por la info, voy a tener que probarlo nuevamente... me alegro de que siga siendo algo de provecho, lo mismo me hago una entrada en el blog con varias pruebas a ver que tal va

Un saludo!
 #448503  por TITAN
 11 Jul 2014, 03:13
Gracias che muy buen material !!!
 #448518  por Neutrox
 11 Jul 2014, 12:59
Tengo que darte mi mas enhorabuena por este aportazo tan descriptivo y profesional, me quito el sombrero hermano ante tu post.
 #448524  por charley
 11 Jul 2014, 15:06
Gracias por tus aportes, el año pasado estuve buscando el metodo RIT y lo pude encontrar en tu blog
 #448709  por ZeRiito
 12 Jul 2014, 23:28
PD: El método BugDLL no he querido incluirlo debido a que tan solo lo hice funcionar en sistemas antiguos como Windows XP, y me gustaría tratar de echarle un vistazo para ver su compatibilidad en W7/8.
quiero tu metodo lo antes posible
 #448729  por MaggicianCOr
 13 Jul 2014, 01:18
Aportazo hermano
 #448914  por jonesey
 14 Jul 2014, 19:54
Muy buena información me sirvió mucho gracias :D
 #448975  por Lucho
 15 Jul 2014, 02:33
Una joya la recopilación muchas gracias.
 #448983  por Cavernotico
 15 Jul 2014, 04:37
muy bueno bro , falta sacar la familia bit defender
 #449008  por Scorpio
 15 Jul 2014, 13:06
Muy bueno tio, me encanta tu blog le dedicaste muchisimo tiempo, sigue así.

//Regards.
 #449032  por Wal999
 15 Jul 2014, 17:30
buen bro, gracias por este aporte.xD
 #449254  por joselin
 17 Jul 2014, 06:55
tu blog esta en favoritos en ie8 corriendo en xp
( cuando no se cuelga).
 #449422  por 4n0nym0us
 18 Jul 2014, 13:21
Muchas gracias chavales!!

Efectivamente Metal_Kingdom, el método BugDLL sigue funcionando! :)