Agregar ejecutable a lista de permitidos del AV

Iniciado por Vaagish, 29 Noviembre 2013, 21:25 PM

0 Miembros y 2 Visitantes están viendo este tema.

Vaagish

Bueno, acá molestando otra vez..

Ustedes creen que sea posible agregar un programa a la lista de exclusiones del AV con código? Digo yo, en algún lugar se debe guardar esa lista, probablemente cifrada, pero si suponemos ejecutar un código que burle la 1º seguridad del AV, y agregue ciertos programas a la lista,, esos podrían hacer mayores cosas,, no?

Saludos!

Karcrack

Lo más lógico es que estén hookeados los accesos a la rama del registro/fichero dónde esté esa configuración... Sería una sorpresa descubrir que no lo hacen.

Vaagish

Se podría debuggear no? Agrego uno a la lista cuando sale la ventanita que pregunta que quiero hacer (Baúl o agregar a excepciones) y ver que pasa.. no? deben tener alguna seguridad anti debugger, supongo..

Saludos!

Karcrack

Es más fácil todavía. Tan sólo crea una imagen del sistema (con RegShot por ejemplo) antes y después de añadir un fichero/carpeta a la lista de exclusión. Así podrás ver dónde se almacena e intentar tu editarlo manualmente. Si puedes avisa :P

x64core

Cita de: Karcrack en 30 Noviembre 2013, 00:53 AM
Es más fácil todavía. Tan sólo crea una imagen del sistema (con RegShot por ejemplo) antes y después de añadir un fichero/carpeta a la lista de exclusión. Así podrás ver dónde se almacena e intentar tu editarlo manualmente. Si puedes avisa :P
Procmon es mejor:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Monitoreo en tiempo de ejecución.

Vaagish

Bueno, me gusto el reto.. lo voy a intentar de las dos formas si es necesario,, con Procmon parece ser mas sencillo, pero por si las dudas,, si creo las imagenes del disco, cual seria el mejor metodo para compararlas? Tiene pinta de llevar mucho tiempo/trabajo eso jeje igual, lo puedo intentar.. pero,, con las herramientas adecuadas, el trabajo es mas sencillo  ;D

Karcrack

Cita de: Vaagish en 30 Noviembre 2013, 05:32 AM
Bueno, me gusto el reto.. lo voy a intentar de las dos formas si es necesario,, con Procmon parece ser mas sencillo, pero por si las dudas,, si creo las imagenes del disco, cual seria el mejor metodo para compararlas? Tiene pinta de llevar mucho tiempo/trabajo eso jeje igual, lo puedo intentar.. pero,, con las herramientas adecuadas, el trabajo es mas sencillo  ;D
Con RegShot la comparación es automática.


Cita de: x64Core en 30 Noviembre 2013, 01:11 AM
Procmon es mejor:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Monitoreo en tiempo de ejecución.
Procmon es detectable por ser en tiempo de ejecución. Con RegShot no alteras el proceso del AV, así que no tendrás problemas si el AV comprueba si alguien intercepta sus llamadas.

Vaagish

#7
En un rato me pongo a investigar, despues les cuento  ::)

EDITO: El ejecutable que me hacia saltar la alarma del Avast no hace saltar la alarma en la pc de casa, pero si en la del trabajo.. Ambos son Avast, es mas, el de casa es mas nuevo, sera que detecta que el programa no es malicioso en realidad? Digo, hacer una inyeccion no tiene que ser algo malo siempre, no? Bueno, veo si hago otro ejecutable que haga que salte la alarma o dejo para el lunes en la pc del trabajo..

Saludos!

x64core

Cita de: Karcrack en 30 Noviembre 2013, 15:47 PM
Con RegShot la comparación es automática.

Procmon es detectable por ser en tiempo de ejecución. Con RegShot no alteras el proceso del AV, así que no tendrás problemas si el AV comprueba si alguien intercepta sus llamadas.
Que estas hablando? Acaso lo haz comprobado por ti mismo para decir algo como eso? Procmon no es bloqueado por antivirus, el ejecutable y el driver estan firmados por Microsoft. De lo contrario indicá qué Antivirus esta bloqueando o detectando eso de dices que hacen.

burbu_1

entonces....no se puede???? :silbar: :silbar: :silbar:

estaría bien eso de los retos en esta sección......