Indetectables

Yo estoy mas puesto que un calcetin, cualquiera de las 2 formas me parece correcta, mas la publica

@frz, antes comentaron que ESET tambien implementara esto de reputaciones, y la tendencia yo creo que sera esa...

Expresarse, que se exprese el que quiera. Pero en cuanto en su expresión haya información valiosa, medida en tanto se considere que es relevante a fin de ir formando un corpus de textos , materiales, simples líneas , suerte de tutoriales o instrucciones con miras a cumplir funcionalmente el propósito del tema primigenio, a saber: cómo burlar proactivas, SandBox de Avast, debe circunscribirse a un sub-foro con acceso restringido.
¿ Si no? ¿ En dónde está marcada la diferencia de Indetectables.net (puntero de lanza en modificar Malware) con respecto a los otros foros de internet?
La diferencia se marca con una nota original, innovadora, furiosa y salida de los cánones viejos, repetidos y gastados que venimos viendo en cada esquina virtual fotocopeada y monótona.

el_Lux escribió:Yo estoy mas puesto que un calcetin, cualquiera de las 2 formas me parece correcta, mas la publica

@frz, antes comentaron que ESET tambien implementara esto de reputaciones, y la tendencia yo creo que sera esa...

ah la mierda el programador si yo en windows creo un programa que me mire un servicio como postgres para ver si esta abajo y lo suba, como lo uso para mi me tiene que cargar en sandbox por defecto que se vayan a cagar

Ignaro mayor de BsAS escribió:Expresarse, que se exprese el que quiera. Pero en cuanto en su expresión haya información valiosa, medida en tanto se considere que es relevante a fin de ir formando un corpus de textos , materiales, simples líneas , suerte de tutoriales o instrucciones con miras a cumplir funcionalmente el propósito del tema primigenio, a saber: cómo burlar proactivas, SandBox de Avast, debe circunscribirse a un sub-foro con acceso restringido.
¿ Si no? ¿ En dónde está marcada la diferencia de Indetectables.net (puntero de lanza) con respecto a los otros foros de internet?
La diferencia se marca con una nota original, innovadora, furiosa y salida de los cánones viejos, repetidos y gastados que venimos viendo en cada esquina virtual fotocopeada y monótona.

no jodimos con este negocio, si fuese asi el simple ejemplo: phrack nunca hubiese sacado un articulo bueno uno que siempre se recuerda es smashing the stack for fun and profit, sin el mucho no se meten en el tema de stack overflow. la idea de los blogs o foros cuando se crean entradas innovadoras y entretenidas atraes publico incluyendo el de buen conocimiento o no saben como llego eduardo vela (sirdarckcat) a elhacker.net pues mi punto de vista era eso y por eso no queria tocar nada de avs metodos de indeteccion y demas si no reversing a funciones de rats como era poison ivy..... bueno veremos que pasa

saludos

Hasta ahora no hemos sacado nada en concreto, es todo suposiciones y datos inconexos (por lo cual no hay nada que ocultar), lo importante del thread, su relevancia, su vigencia, su cantidad de comentarios y sus investigaciones han sido producto de que el thread es PUBLICO. Y como bien dice frodo, esto atrae nuevas propuestas, nuevos usuarios y el foro se enriquece.
Quieren hacer otro privado?, pues adelante. Pero yo voto por el PUBLICO. Say No More

PD: Gracias al Maestro ukranow, fue el unico que me acercó el material que necesitaba para seguir...

orlando9427 escribió:Probe el ejemplo de la DLL y no me salto el SandBox, alguien mas podría ejecutar la DLL y comentar.
Adjunto el código de la DLL y un Batch para ejecutarla.

[Enlace externo eliminado para invitados]

Saludos!

Men lo ejecute y no me salto nada
otro user subio unos exe llamados Project1 y Project2 avast salto al instante pero despues de un rato, de tamto abirilos pienso yo dejo de de detectarlos y los ejecuta normalmente

Me parece muy bien que lo hagan privado si no seria tirar a la basura un gran post como este.

Al final con la tontería de privatizarlo se está dejando de hablar del tema...

Alguien se ha fijado en que si abres una puta bola anotadora el fichero txt sí es escrito, pero en la emulación virtual?

Otro ejemplo:

Crear fichero en "c:\" con nombre de.. "miscojones.txt", y que el propio programa que genera el fichero haga un listado de los ficheros encontrados en c:\.. pues aparece el cabrón del "c:\miscojones.txt" (junto al resto de ficheros en la unidad c:\ real), pero en la ruta real NO aparece.. volviéndole loco realizando ese tipo de acciones de lectura/escritura se vuelve completamente inestable llegando incluso a no abrir el fichero.

Vamos que estoy mirando alguna manera de detectar la ejecución en la sandbox para hacer al menos un anti.

Y hablando de sandbox.. habéis probado a ejecutar algo en Sandboxie (ojo, el sandboxie de toda la vida) mientras la sandbox de avast está activa?

Mirad, esta es la basura que salta..:



El uso de la sandbox de Avast limita completamente el uso de otras aplicaciones, por mucho que digan que es un método de seguridad, mas les vale que retiren esa puta mierda o al menos que hagan que funcione bien.

Y si es una aplicación que tenga manifest y que jale privilegios de SYSTEM Y LE DE UNA patada en el #$%& al antivirus? XD

intente usar el Iceberg haber si podia matar los procesos de el sandbox pero nada no me funciono es tan desesperado este Av q de la noche ala mañana paso a ser jodido
P.D : voto por que sea mensaje privado

Bueno nos acercamos un pasillo, lo que ha dejado Orlando funciona. Cargas la DLL, y no lo mete en sandbox.

hay una copia del mismo hilo en la "Zona de investigación" dentro del apartado taller donde el que quiera seguirla en privado puede hacerlo. El hilo original se dejo aca para que también la puedan seguir los de afuera.

RobiNRecorD escribió:intente usar el Iceberg haber si podia matar los procesos de el sandbox pero nada no me funciono es tan desesperado este Av q de la noche ala mañana paso a ser jodido
P.D : voto por que sea mensaje privado

Por que a lo mucho solo tiene permisos de administrador. En privilegios System es otro p2.

Creo que podemos tocar este tema luego, retomemos el de titan

TITAN escribió: Que tema mas interesante, yo hace mucho estoy haciendo pruebas al respecto y AVG por ejemplo me detecta el keylogger de xtremrat y cualquier inyección que configure en el server. Como dice Osni no importa lo fud que parezca la proactiva lo detecta como sospechoso.
Es un gran tema para investigar, ojala se pueda debatir en paz !

como esto no es saber trucos de indetetectar se trabajara con el server indetectable a avg sin crypter

Bueno compas, yo voy animarme tambien a hacer unas pruebas, salu2

La de AVG con hacer que el runpe inyecte en un proceso que no sea la del propio stub, y que el server no se autocopie se salta. Al igual que la mayoria de las proactivas. Como kav, bitdefender, g-data, comodo, y hasta ahora avast.