Esto pasa cuando intentas enseñar Ingeniería Inversa

Iniciado por karmany, 21 Febrero 2013, 20:47 PM

0 Miembros y 1 Visitante están viendo este tema.

karmany

Muchas veces, en el estudio de Ingeniería Inversa, necesitas estudiar packers gratuitos para luego explicar todo lo aprendido. Sin embargo, esta es una de las cosas que más me fastidia cuando quieres enseñar algo: que tus creaciones, aplicaciones, ejecutables dan muchísimas veces FALSOS POSITIVOS.

Es un hecho y la verdad que es un fastidio porque los antivirus te bloquean todo y muchos usuarios cuando ven una ALERTA, VIRUS ENCONTRADO pues se lo piensan más de una vez.

Por ejemplo, este es un archivo que puse en un tutorial. Pongo el enlace a Virus Total. Fíjate que recién escaneado, 30 antivirus de 46 lo consideran malware:
https://www.virustotal.com/es/file/a136c04ef0413cad4e4bf6c63bfc8f6e216ea0135e8fe8467f167596a5492b60/analysis/

Y una imagen del momento (pinchar en la imagen para agrandarla):


Y os puedo asegurar que no contiene virus. Es más, es un archivo comprimido creo que con UPX y si lo desempacáis está escrito directamente en ensamblador.

MCKSys Argentina

Bueno, pero si lo ves de otra forma: Tambien estas enseñando la fiabilidad que tienen los AVs (incluso se puede poner divertido y buscar de modificar el code hasta que se vuelva indetectable  ::))...

Pero bueno, sólo es por verle el "lado amable" al asunto.
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


karmany

si..

Aún debo tener por ahí ese programa que te permitía ir modificando bytes en un archivo y verificar si saltaba el antivirus.

Ciertamente es una pena. Por ejemplo el programa conocido en Ingeniería Inversa Topo, está programado directamente en asm y es considerado virus. Y no porque los antivirus vean que existe virus, sino porque leen los x primeros bytes y lo reconocen. Simplemente cambiando un byte ya no es detectado. ¡vaya antivirus!

Y el problema es que como pongas un archivo en descarga en tu web que de falsos positivos, te impiden el acceso a la misma y al final tu sitio es considerado "peligroso". ¡Vaya! ¡vaya! Luego no es sencillo revertir esta situación y todo por falsos positivos...

Luna71c0

Me sorprende que el Avast no haya dectectado nada a mi me detecta la app de "Skydrive" de microsoft como virus... Hoy en dia hay muchos falsos positivos.. por mi parte siempre pruebo herramientas de haking sobre maquinas "preparadas" (sin antivirus, y completamente dedicadas a la tarea)

Citar
Un pequeño paso para el programador....
Un gran paso para el hacker...

...]LunaHAck[...


i'm the "Luna71c0"

Amerikano|Cls

Es una pena que todo lo existente, sea virus para estas empresas  >:D




Mi blog:
http://amerikanocls.blogspot.com

$Edu$

Tal vez vivo en otra realidad pero para mi no es noticia nueva ni nada, los antivirus no solo ponen firmas en los malwares, tambien en cosas como ese parche, en los cracks, para que no se pueda andar descargando un ejecutable crackeado.

Si existe un programa que se encarga de modificar bytes de un archivo para crackearlo, puede que le pongan una firma. Luego tu haces uno igual, sin saber que otro, en otro pais, hizo lo mismo, entonces tu aplicacion tendra coincidencia de codigo y por lo tanto de firma.

Eso a nivel de scan-time, pero si un programa modifica otro archivo cambiando algunos bytes, puede que a la heuristica del antivirus no le guste, ya que siempre hay algo "maligno" detras de un cambio de bytes de ese tipo.

Vamos, que los antivirus estan hechos para los usuarios comunes, si los que aprenden de tu curso no entienden eso, que aprendan otra cosa.