Buenas tardes,
¿Sabrían ustedes cómo lograr que las llamadas a las APIS( de Windows), efectuadas por un virus, no fuesen detectadas por el sistema de monitorización de un antivirus?
Gracias
depende cuales y que antivirus.
¿No es posible conseguirlo en general?
no creo, por lo general suelen saltar por unas pocas, las demas pueden pasar por el pero no lanzar advertencia alguna.
Pues supongo que cuando te refieres a: "el sistema de monitorización de un antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...
Gracias
Cita de: Karcrack en 14 Septiembre 2010, 20:20 PM
Pues supongo que cuando te refieres a: "el sistema de monitorización de un antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...
O esto o sacar la dirección inicial de la api sin hookear y asignartela a tu funcion, luego llamarla como la llamabas anteriormente. Asi te evitas pasar por la SSDT, que es donde estan los hooks ;)
Un Saludo :)