Sigilo

Iniciado por morfismo, 14 Septiembre 2010, 17:01 PM

0 Miembros y 1 Visitante están viendo este tema.

morfismo

Buenas tardes,

¿Sabrían ustedes cómo lograr que las llamadas a las APIS( de Windows), efectuadas por un virus, no fuesen detectadas por el sistema de monitorización de un  antivirus?

Gracias

bizco

depende cuales y que antivirus.

morfismo

¿No es posible conseguirlo en general?

bizco

no creo, por lo general suelen saltar por unas pocas, las demas pueden pasar por el pero no lanzar advertencia alguna.

Karcrack

Pues supongo que cuando te refieres a: "el sistema de monitorización de un  antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...

morfismo


Hendrix

Cita de: Karcrack en 14 Septiembre 2010, 20:20 PM
Pues supongo que cuando te refieres a: "el sistema de monitorización de un  antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...

O esto o sacar la dirección inicial de la api sin hookear y asignartela a tu funcion, luego llamarla como la llamabas anteriormente. Asi te evitas pasar por la SSDT, que es donde estan los hooks  ;)

Un Saludo  :)
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián