Clave para saber AV instalado?

Iniciado por x64core, 18 Enero 2012, 02:00 AM

0 Miembros y 1 Visitante están viendo este tema.

BlackZeroX

Habra que poner detectores de modificacion e instalar un A.V. para ver donde y que modifican, o revisar un SRC.

Dulces Lunas!¡.
The Dark Shadow is my passion.

x64core

bien, un snapshot al reg o bien es cierto por ahí andaba el src del KIS por cierto buen antivirus la cosa es
rebuscarse por encontrar el metodo yo me animaria a leer un poco el KIS pero esta en delphi parece xD
si estuviese en c++ o asm lo haria :P

BlackZeroX

Si no mal recuerdo era c/c++... no recuerdo bien creo que aun lo tengop... igual no es el SRC completo...

Dulces Lunas!¡.
The Dark Shadow is my passion.

Karcrack

Si utilizas la técnica del Snapshot observarás que cada AV hace lo que le da la gana :laugh: Yo ya probé con NOD32 y Avast... sin éxito :P

BlackZeroX

#14
Bueno les traigo este AV OpenSource quisas sirva de algo, vere que encuentro...

http://sourceforge.net/potm/potm-2005-02.php

Dulces Lunas!¡.
The Dark Shadow is my passion.

Distorsion

Con Win7:

wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct GET /value

Funciona a la perfección, recuerda ejecutarlo con permisos de admin.

Иōҳ

No soy malware writer, pero analizando malware... no crean una pipe para poder ejecutar comandos de la shell de win?

Nox.
Eres adicto a la Ing. Inversa? -> www.noxsoft.net

x64core

Se me a ocurrido averiguar como obtienen ese dato los troyano actuales... que en el listview muestran el nombre del AV
no tengo src de uno de ellos...

Karcrack

Te ahorro el análisis: Lo hacen con WMI.

Si eliminas la entrada en la WMI de los AVs verás como el RAT no es capaz de identificar nada. A no ser que el RAT revise uno por uno los procesos de todos los posibles AV :laugh: