Mensajes

Esas son todas la funciones hookeadas por AV?

No veo nada interesante a ser restaurado o algo, tendrias que decirme a que te referis con ese 'funciona'?

Calculo que sera que funciona porque consigue una shell fuera del SandBox, acaso no puede escribir en el disco haciendo eso? 
Igual comparto que el método no es seguro.. pero es un método..

comprate una raspberry pi, anda a un shopping , conectate al wifi del shopping , luego a un vpn , si la vas a utilizar como server , esconde muy bien el raspberry pi.

Irónicamente muy buena! Quizás no en un shopping, pero... 

En mi opinion , no deberias molestar a la gente , y esmerarte en superarte a vos mismo en la seguridad informatica.

Na, en realidad yo dedico lote de tiempo a programar "cosas", pero luego no las uso.. el conocimiento queda, y el día de mañana me podría venir muy bien ese conocimiento.. 

Para el tema de ocultarse sobre la red esta este hilo:
http://foro.elhacker.net/seguridad/pueden_rastrearme_si_uso_tor-t408839.0.html

Bien,, son medidas que tomare,, aunque sea modo "paranoico on", una maquina virtual para las cosas "hacking" y la normal, para ver youtube jajaja

No lo pregunto ahi, porque ya esta largo el tema,, pero con respecto al adaptador de red, o la mac, cambia en la VM? O puede haber un punto flaco ahí? O simplemente esa información nunca sale de la pc?

Saludos!

A los registro se accede más rápidamente ya que no es necesario hacer uso del bus de datos para acceder a la memoria, sino que se accede a ellos directamente (no estoy muy seguro cómo exactamente, además en otra parte del texto decía que es una zona especial de memoria, con lo que parece contradecirse).

No entiendo bien a que hará referencia que es una "zona especial de memoria", sera porque son como pequeñas memorias 
Lo demás esta todo correcto, aunque aclaro que el procesador tiene unos buses dentro, bus de datos y bus de control (quizás algún otro que no recuerdo), busca alguna imagen en google de como esta diseñado un procesador..

Los registros de segmentos permiten seleccionar un segmento en particular (como el de datos, el de código, etc). No es que esos registros guarden información, sólo guardan la dirección de la base del segmento. Luego a estos valores se les multiplicará por 10h y sumará un desplazamiento.
Los procesadores no se centran en un único proceso, sino que posponen las instrucciones momentáneamente para ir por otros, en eso deben guardan los valores actuales de los registros en pila para usar los nuevos valores del nuevo programa que se ejecuta. Cuando se deba volver al que se estaba antes se carga de la pila y se avanzan algunas instrucciones más. Aparentemente se ejecutan varios procesos simultáneamente, pero lo que ocurre es que se dan pasadas de a pocos en cada uno de ellos. De no ser así, el ordenador estaría pendiente de recibir lo que actualmente estoy escribiendo y no podría continuar ejecutando dota2 y otras aplicaciones que tengo abiertas.

Creo que si, todo así.

PD: Yo tampoco la tengo re clara, puede que pifee

Saludos!!

[NEW:]

Buenas! Creo que esta charla es mas constructiva que en la versión anterior. (http://foro.elhacker.net/buscador2-t378027.0.html;msg1807944#msg1807944)

Tratemos de no desviarnos y buscar soluciones

Bueno en realidad yo cite una duda de él pensar que mediante la detección de modulos cargados por la sandbox haria
de tu malware sea indetectable por los Antivirus es erroneo.

Noo,, claro.. la detección del modulo no haría al ejecutable indetectable,, por que lo haría sin otro método especialmente diseñado para eso? Este seria solo el principio..

Y habria que aclarar antes de entrar en confusión como sucedio en el otro tema, Vagish quiere detectar si el
programa esta siendo analizado por el Antivirus sandbox/VM.
Yo diría que Vaagish quiere saber si una librería está cargada en el proceso...

Lo que esta pasando es que yo inicie el tema con un nombre, luego exprese para que queria "Mostrar librerias cargadas...." y de ahi se abrio todo el asunto.. por eso con confundimos..
Podríamos decir que el asunto en cuestión esta solucionado.. pero la charla se derivo a el asunto del sandbox que esta muy interesante..

@Vaagish: Me sorprende que así puedas descargar la librería. ¿Seguro que no te lo detecta como malicioso al finalizar el análisis?

Nop. Eso es lo raro,, podría tratarse de un "pequeño error" en Avast? Es muy raro,, al descargar la librería, se cierra el sandbox y se ejecuta en la maquina real, como si hubiera terminado el análisis (el análisis de sandbox) esta claro que el AV puede seguir analizando el archivo, pero ya podríamos por ejemplo, escribir en la maquina, que no es poca cosa.. Voy a investigar mas hoy,, quien tenga avast lo puede probar..

PD: Es muy constructivo esto, yo pensaba que la heuristica y el analisis de comportamiento eran lo mismo.

Saludos!!

NEW: Penosamente, aunque predeciblemente, la librería no se descarga, no se que habrá pasada en la primer prueba, simplemente se cerro el SB, quizás termino el análisis (extraordinariamente rapido) y dio por concluido y no riesgoso. Y depende la cantidad de código, salta el AV o no al descargar la librería, pero no necesariamente se considera algo malo intentar descargarla.

Por probar,, solo por el simple echo de probar que pasaba,, le di esta instruccion al programa:

Código (asm) [Seleccionar] Expandir

hLib db "snxhk.dll", 0
invoke FreeLibrary, addr hLib

Y.... se cierra el sandbox 

O sea,, en vez de mantenerlo un tiempo ahi,, a modo de prueba,,,, ta tannnn... se cierra y se ejecuta el code normalmente!

No es que haya descubierto algo,,, en realidad no hice nada extraño,,, pero me parece sumamente raro que se cierre enseguida el sandbox,, da la impresión que no lo mantiene en análisis... Que opinan?? Que creen que este pasando?

Hay mucho macro para generar constantes en tiempo de ensamblado. Si lo ensamblas verás que no hay cadenas de texto. Se generan los hashes y luego se comparan de la lista de librerías cargadas.

Eso no lo vi aun,, es muy buena estrategia! No he podido investigarlo bien (estoy en el trabajo, cada tanto me escapo un poco jeje)

Cuanto menos tiempo de kernel gaste el antivirus más fluido irá el sistema. Se intentan delegar las tareas menos cruciales a usermode por cuestiones de optimización. También un crasheo de la DLL (p.e intencionado para saltarse la protección ) estaría localizado en el proceso y no reventaría todo el motor del antivirus o el SO.

Claro,, tiene mucha lógica..   

Si quisieses hacer una detección genérica entrarían en juego muchos otros factores. Hay diferentes técnicas para detectar entornos virtualizados sin tener que hacer blacklisting. Por ejemplo utilizar instrucciones/llamadas que sepas que no siguen la ruta habitual y hacer comparaciones de tiempo. (Artículo al respecto)

+100! Descargado, guardado en lecturas urgentes jeeje

Vaya que interesante se esta poniedo todo esto, lastima que no este dentro de mi onda.

A mi en realidad lo que mas me gusta de windows es la posibilidad de hacer estas cosas.. 

Me había matado escribiendo para que se cerrara la session.. 

@Vaagish: Mira este código para detectar los sandbox maluchos que inyectan DLL: (FASM)

Excelente! Eso es lo que quiero implementar,, lo voy a intentar en masm, que es en el que yo aprendo,, así practico

Un poco caótico, lo hice en el metro de camino a casa Si necesitas algún comentario dímelo

La idea la capto, el codigo no tanto, porque hay cosas de fasm que me marean, pero lo voy a intentar, si preciso algo puntual te aviso

Código (asm) [Seleccionar] Expandir

hash sandboxie, 'sbiedll.dll'
hash avast32,   'snxhk.dll'
hash avast64,   'snxhk64.dll'
hash comodo32,  'guard32.dll'
hash comodo64,  'guard64.dll'

Estas lineas me van a facilitar bastante jeje, me imagino que dio trabajo pasar por todos los av para saber cuales módulos carga cada uno.. Lo flojo de este metodo es que el dia de mañana podrian cambiar los nombres de las dll's, o dejar de inyectarlas.. que de echo:

Para que cargaran esas dll's? Si el proceso ya se encuentra en un lugar controlado..

Yo voto por mí ¿No has visto los últimos enlaces del tema? El último argumento de Buster_BSA es que si existiesen vulnerabilidades de ese tipo valdrían millones; las hay. Y seguro que con suficientes contactos podrías encontrar un 0day por ahí que te permitiese elevación de privilegios local en la máquina invitado en VirtualBox y Windows XP

Si hay millones en juego, mejor hacemos un grupo de investigación??? jeje

Voto por Buster_BSA el es un usuario con un gran conocimiento conocido en varios foros también.
Pero sí, es posible 'salirse' de la sandbox si se encuentra una vulnerabilidad.

Jajaja si,, no hay un punto definitivo.. yo también creo que se podría encontrar un bug,, pero hay que romperse el c.. raneo, y encontrarlo.. uff.. se podría aprovechar muy bien.. 

Qué discusión?

Acá mira.. se armo un relajo bárbaro haha

http://foro.elhacker.net/buscador2-t378027.0.html;msg1807944#msg1807944

Saludos!