Evitar detección de anti virus.

Iniciado por APOKLIPTICO, 16 Noviembre 2012, 18:59 PM

0 Miembros y 1 Visitante están viendo este tema.

Karcrack

¿Al final que resultó hacer saltar la detección? Si Symantec te detecta por firmas será fácil detectarlo.

Mucha suerte ;)

APOKLIPTICO

Bueno, hice bajar la entropía de las secciones para que no la vean como comprimida o cifrada los AV, todavía hay análisis que pueden hacer que lo vean como comprimida o cifrada, pero a priori funcionó para virustotal, sólo tengo 1/46 :).

AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.

Karcrack

Sí, tuve un problema similar hace tiempo con Avira. Estadísticamente no encontraba suficientes 0s y pensaba que estaba cifrado/comprimido. Basto con añadir 1kb de 0s en el EOF y solucionado :)

x64core

#43
Subiendo tus creaciones a VT? WTF? Si, sabemos que terminaran ahí pero eso solo hace
que en unos dias sea detectado tu malware, si estas haciendo tu version final del malware es un problema,
Bueno escribo mi experiencia tambíen, hace unos meses necesitaba un programita un poco indetectable, que tenia que llevar
cargado otro de ~600kb, no encontraba la forma de que lo llevara cargado sin ser detectado porque eran muchos bytes, en la
sección de recursos y con ese tamaño me lo detectaban muchos antivirus ( 7/37 ), luego hice un programa para que me añadiera una sección nueva con los permisos de la sección de datos y almacenar allí los ~600kb , ahora me lo detectaban ( 3/37 ), todo
cifrado por supuesto.

como siempre los más jodidos de remover: Avira,Kaspersky,Dr.web. más especialmente en Avira que su ratio de detección se basa bastante en ScanTime, tan solo un poco de corrupcion en el PE y ya es detectado como malware ( por ejemplo cambiar los
persimos de la sección de codigo, etc ) así que hice muchos intentos, al final encontre la solucion, agregar los KB's a la sección
de datos, hice un codigo que modificaba la sección de datos, realinaba la cabecera de las secciones, ajustaba los valores de la
ultima sección ( .reloc ) y ahora mi programa era detectado por 0/37  ::)

Luego en tiempo de ejecución era otra problema con Kaspersky pero se puede saltar tambíen  ;D.

PD: por cierto yo no recomiendo nada a AVIRA (premium ) como antivirus personal, es muy facil de saltar, una vez que lo saltas en ScanTime, en tiempo
de ejecucion ya puedes hacer cualquiera cosa sin deteccion adicional, incluso cargar un Driver y jugar un poco con el mismo antivirus  :silbar:  ;-)