[?] Proactiva?

Iniciado por MeCraniDOS, 15 Diciembre 2014, 11:29 AM

0 Miembros y 3 Visitantes están viendo este tema.

MeCraniDOS

Hola,

Tengo una duda, estoy tratando de hacer indetectable un exe (para aprender  :rolleyes:), el antivirus es Trend Micro Internet Security, probando un par de cosas consigo que no me lo detecte, pero al ejecutarlo, a los dos segundos me dice que es sospechoso y me lo borra  :huh:

A eso se le llama proactiva?  :huh:

Como puedo hacer que no lo detecte?

(Con crypters y eso no me lo detecta cuando lo analizo, solo cuando lo ejecuto)

Gracias y saludos
"La física es el sistema operativo del Universo"
     -- Steven R Garman

fary

Se llama heurística, y para hacerlo indetectable hay, o había varios truquillos como hacer un bucle de X duración al iniciar el programa y cosas así.

Básicamente detecta el modo en el que haces las cosas.


Un byte a la izquierda.

MeCraniDOS

Cita de: mDrinky en 15 Diciembre 2014, 13:53 PM
Se llama heurística, y para hacerlo indetectable hay, o había varios truquillos como hacer un bucle de X duración al iniciar el programa y cosas así.

Básicamente detecta el modo en el que haces las cosas.


Hacer un delay al incio? Si en teoria detecta el modo en el que hace las cosas un determinado exe, porque a los 5 segundos (por ejemplo) ya no lo detecta?

Cual es la diferencia entre proactiva y heuristica?

En teoria "proactiva" tambien detecta el comportamiento sospechoso por lo que hace un software  :huh:
"La física es el sistema operativo del Universo"
     -- Steven R Garman

x64core

#3
Cita de: MeCraniDOS en 15 Diciembre 2014, 11:29 AM
Hola,

Tengo una duda, estoy tratando de hacer indetectable un exe (para aprender  :rolleyes:), el antivirus es Trend Micro Internet Security, probando un par de cosas consigo que no me lo detecte, pero al ejecutarlo, a los dos segundos me dice que es sospechoso y me lo borra  :huh:

A eso se le llama proactiva?  :huh:

Como puedo hacer que no lo detecte?

(Con crypters y eso no me lo detecta cuando lo analizo, solo cuando lo ejecuto)

Gracias y saludos


Cita de: MeCraniDOS en 15 Diciembre 2014, 17:08 PM
Hacer un delay al incio? Si en teoria detecta el modo en el que hace las cosas un determinado exe, porque a los 5 segundos (por ejemplo) ya no lo detecta?

Cual es la diferencia entre proactiva y heuristica?

En teoria "proactiva" tambien detecta el comportamiento sospechoso por lo que hace un software  :huh:

Proactividad se basa en monitorizar ciertos eventos que se intenten realizar, Heuristica detecta por ciertos patrones o comportamientos.

-

Si el malware está siendo detectado en tiempo de ejecución, en general podria ser una combinación de Emulación, Heuristica y Proactividad (si ellos existen en el motor del Antivirus) ya que funcionan muy estrechamente entre si. Si estás usando un Crypter y aún sigue detectando el malware entonces está mal diseñado o mejor dicho no está cumpliendo su función de un verdadero Crypter, obviamente.

Para darte una solución general ya que no sabemos si la detección es exactamente por Proactividad o Heuristica o una combinación de los dos, debes de saber cómo los Antivirus funcionan y detectar la emulación de código que en la mayoria de los casos es lo que dependen la Proactividad y la Heuristica, asi que leer acerca de emulación de código, Virtualización que es lo que hacen los Antivirus para detectar en tiempo de ejecución.

Y agregado Bucles, Delays es la peor de las maneras que existen y personalmente no la recomiendo, no te asegura que el Malware sea indetectables y la gente que lo hace es simplemente agregar un bucle que durará 5-10 mins en el sistema que están haciendo las pruebas, los Antivirus que toman en cuenta el tiempo empleado para intentar detectar un Malware no se basan en segundos o minutos sino en cantidad de tamaño de la unidad de tiempo del sistema. Asi como un bucle puede ejecutarse por 10 minutos en un Pentium, en un i3 podrian ser 5 minutos, en un i7 con 4 nucleos sólo 1 minuto o así...

Además de eso, Antivirus como Kaspersky no son tan idiotas, podrian detectar el flujo de ejecución de un hilo. Así que lo que quiero dar a entender es que Delaying, retardo o como le llamen, no es la solución correcta para derrotar a los Antivirus, no es más que sólo un intento de escape muy generico y en la mayoria de los casos no funcional en efectos de sistemas reales sin mencionar que sólo afecta en el rendimiento del sistema y no ayuda contra paranoia del usuario.



MeCraniDOS

#4
Cita de: x64Core en 16 Diciembre 2014, 07:38 AM
Para darte una solución general ya que no sabemos si la detección es exactamente por Proactividad o Heuristica o una combinación de los dos, debes de saber cómo los Antivirus funcionan y detectar la emulación de código que en la mayoria de los casos es lo que dependen la Proactividad y la Heuristica, asi que leer acerca de emulación de código, Virtualización que es lo que hacen los Antivirus para detectar en tiempo de ejecución.

Entonces realmente el antivirus ejecuta el archivo en una "maquina virtual" y detecta el comportamiento?

Detectando como virtualiza se podria programar un anti para que no hiciese nada mientras se esta emulando?  :silbar:


Cita de: x64Core en 16 Diciembre 2014, 07:38 AM
Y agregado Bucles, Delays es la peor de las maneras que existen y personalmente no la recomiendo, no te asegura que el Malware sea indetectables y la gente que lo hace es simplemente agregar un bucle que durará 5-10 mins en el sistema que están haciendo las pruebas, los Antivirus que toman en cuenta el tiempo empleado para intentar detectar un Malware no se basan en segundos o minutos sino en tiempo de tamaño de la unidad fisica del sistema. Asi como un bucle puede ejecutarse por 10 minutos en un Pentium, en un i3 podrian ser 5 minutos, en un i7 con 4 nucleos sólo 1 minuto o así...

Además de eso, Antivirus como Kaspersky no son tan idiotas, podrian detectar el flujo de ejecución de un hilo. Así que lo que quiero dar a entender es que Delaying, retardo o como le llamen, no es la solución correcta para derrotar a los Antivirus, no es más que sólo un intento de escape muy generico y en la mayoria de los casos no funcional en efectos de sistemas reales sin mencionar que sólo afecta en el rendimiento del sistema y no ayuda contra paranoia del usuario.

En verdad si.. lo veia una solucion algo chapuzas  :rolleyes:

Gracias x64Core  ;D,

Un saludo
"La física es el sistema operativo del Universo"
     -- Steven R Garman

x64core

Cita de: MeCraniDOS en 16 Diciembre 2014, 11:50 AM
Entonces realmente el antivirus ejecuta el archivo en una "maquina virtual" y detecta el comportamiento?

Detectando como virtualiza se podria programar un anti para que no hiciese nada mientras se esta emulando?  :silbar:


En verdad si.. lo veia una solucion algo chapuzas  :rolleyes:

Gracias x64Core  ;D,

Un saludo

Sí, detectar el entorno virtualizado si el Antivirus tiene, algunos sólo tienen un simple emulador de código muy primitivo.

Mad Antrax

Algunas proactivas de los AV monitorizan las llamadas a las API's, así detectan comportamientos sospechosos.

Por ejemplo, si un ejecutable, hace una llamada a RegOpenKeyEx (para leer el registro), la proactiva del AV puede "hookear" esa llamada, leer los parametros y comprobar si se está accediendo a HKLM\Software\Microsoft\Windows\CurrentVersion\Run y detectar así un intento de autorun. Lo mismo para APIS de borrar ficheros, copiar, etc...

Saludos
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

x64core

Cita de: Mad Antrax en 18 Diciembre 2014, 09:25 AM
Algunas proactivas de los AV monitorizan las llamadas a las API's, así detectan comportamientos sospechosos.

Por ejemplo, si un ejecutable, hace una llamada a RegOpenKeyEx (para leer el registro), la proactiva del AV puede "hookear" esa llamada, leer los parametros y comprobar si se está accediendo a HKLM\Software\Microsoft\Windows\CurrentVersion\Run y detectar así un intento de autorun. Lo mismo para APIS de borrar ficheros, copiar, etc...

Saludos
Además de que Hooking se debe evitar lo más posible debido a la inestabilidad y compatibilidad con x64, Windows provee Callbacks para monitorizar acceso al registro, no conozco ningun Antivirus que emplee Hooking para funciones como: NtOpenKey, NtCreateKey, etc. en lugar de usar Callbacks, seria usado por Antivirus muy primitivos. Lo mismo para archivos, se añade un Driver de filtro al FileSystem para controlar acceso I/O.

Mad Antrax

Exacto, por eso puse "hooks" entre comillas. Si no recuerdo mal, KAV instala un pequeño driver que hace de "filtro" a esas llamadas y detecta comportamiento "vírico" en su heuristica. kl1.sys creo que se llamaba
No hago hacks/cheats para juegos Online.
Tampoco ayudo a nadie a realizar hacks/cheats para juegos Online.

xxxposeidonxxx

Tira de Java y pagales con la misma moneda.  ;D