Agregar ejecutable a lista de permitidos del AV

Vaagish · 29 Noviembre 2013, 21:25 PM

Bueno, acá molestando otra vez..

Ustedes creen que sea posible agregar un programa a la lista de exclusiones del AV con código? Digo yo, en algún lugar se debe guardar esa lista, probablemente cifrada, pero si suponemos ejecutar un código que burle la 1º seguridad del AV, y agregue ciertos programas a la lista,, esos podrían hacer mayores cosas,, no?

Saludos!

Karcrack · 29 Noviembre 2013, 23:13 PM

Lo más lógico es que estén hookeados los accesos a la rama del registro/fichero dónde esté esa configuración... Sería una sorpresa descubrir que no lo hacen.

Vaagish · 29 Noviembre 2013, 23:23 PM

Se podría debuggear no? Agrego uno a la lista cuando sale la ventanita que pregunta que quiero hacer (Baúl o agregar a excepciones) y ver que pasa.. no? deben tener alguna seguridad anti debugger, supongo..

Saludos!

Karcrack · 30 Noviembre 2013, 00:53 AM

Es más fácil todavía. Tan sólo crea una imagen del sistema (con RegShot por ejemplo) antes y después de añadir un fichero/carpeta a la lista de exclusión. Así podrás ver dónde se almacena e intentar tu editarlo manualmente. Si puedes avisa

x64core · 30 Noviembre 2013, 01:11 AM

Cita de: Karcrack en 30 Noviembre 2013, 00:53 AM
Es más fácil todavía. Tan sólo crea una imagen del sistema (con RegShot por ejemplo) antes y después de añadir un fichero/carpeta a la lista de exclusión. Así podrás ver dónde se almacena e intentar tu editarlo manualmente. Si puedes avisa

Procmon es mejor:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Monitoreo en tiempo de ejecución.

Vaagish · 30 Noviembre 2013, 05:32 AM

Bueno, me gusto el reto.. lo voy a intentar de las dos formas si es necesario,, con Procmon parece ser mas sencillo, pero por si las dudas,, si creo las imagenes del disco, cual seria el mejor metodo para compararlas? Tiene pinta de llevar mucho tiempo/trabajo eso jeje igual, lo puedo intentar.. pero,, con las herramientas adecuadas, el trabajo es mas sencillo

Karcrack · 30 Noviembre 2013, 15:47 PM

Cita de: Vaagish en 30 Noviembre 2013, 05:32 AM
Bueno, me gusto el reto.. lo voy a intentar de las dos formas si es necesario,, con Procmon parece ser mas sencillo, pero por si las dudas,, si creo las imagenes del disco, cual seria el mejor metodo para compararlas? Tiene pinta de llevar mucho tiempo/trabajo eso jeje igual, lo puedo intentar.. pero,, con las herramientas adecuadas, el trabajo es mas sencillo

Con RegShot la comparación es automática.

Cita de: x64Core en 30 Noviembre 2013, 01:11 AM
Procmon es mejor:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Monitoreo en tiempo de ejecución.

Procmon es detectable por ser en tiempo de ejecución. Con RegShot no alteras el proceso del AV, así que no tendrás problemas si el AV comprueba si alguien intercepta sus llamadas.

Vaagish · 30 Noviembre 2013, 16:42 PM

En un rato me pongo a investigar, despues les cuento

EDITO: El ejecutable que me hacia saltar la alarma del Avast no hace saltar la alarma en la pc de casa, pero si en la del trabajo.. Ambos son Avast, es mas, el de casa es mas nuevo, sera que detecta que el programa no es malicioso en realidad? Digo, hacer una inyeccion no tiene que ser algo malo siempre, no? Bueno, veo si hago otro ejecutable que haga que salte la alarma o dejo para el lunes en la pc del trabajo..

Saludos!

x64core · 30 Noviembre 2013, 18:43 PM

Cita de: Karcrack en 30 Noviembre 2013, 15:47 PM
Con RegShot la comparación es automática.
Procmon es detectable por ser en tiempo de ejecución. Con RegShot no alteras el proceso del AV, así que no tendrás problemas si el AV comprueba si alguien intercepta sus llamadas.

Que estas hablando? Acaso lo haz comprobado por ti mismo para decir algo como eso? Procmon no es bloqueado por antivirus, el ejecutable y el driver estan firmados por Microsoft. De lo contrario indicá qué Antivirus esta bloqueando o detectando eso de dices que hacen.

burbu_1 · 1 Diciembre 2013, 03:44 AM

entonces....no se puede????

estaría bien eso de los retos en esta sección......