Sigilo

morfismo · 14 Septiembre 2010, 17:01 PM

Buenas tardes,

¿Sabrían ustedes cómo lograr que las llamadas a las APIS( de Windows), efectuadas por un virus, no fuesen detectadas por el sistema de monitorización de un antivirus?

Gracias

bizco · 14 Septiembre 2010, 17:05 PM

depende cuales y que antivirus.

morfismo · 14 Septiembre 2010, 17:27 PM

¿No es posible conseguirlo en general?

bizco · 14 Septiembre 2010, 19:09 PM

no creo, por lo general suelen saltar por unas pocas, las demas pueden pasar por el pero no lanzar advertencia alguna.

Karcrack · 14 Septiembre 2010, 20:20 PM

Pues supongo que cuando te refieres a: "el sistema de monitorización de un antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...

morfismo · 16 Septiembre 2010, 14:52 PM

Gracias

Hendrix · 20 Septiembre 2010, 13:41 PM

Cita de: Karcrack en 14 Septiembre 2010, 20:20 PM
Pues supongo que cuando te refieres a: "el sistema de monitorización de un antivirus" te refieres al sistema de Hooks a nivel Kernel que tienen gran parte de los AVs... Para poder llamar a ciertas funciones sin que este sistema se de cuenta tendrias que Unhookear las funciones...

O esto o sacar la dirección inicial de la api sin hookear y asignartela a tu funcion, luego llamarla como la llamabas anteriormente. Asi te evitas pasar por la SSDT, que es donde estan los hooks

Un Saludo