Cita de: cpu2 en 10 Agosto 2014, 13:06 PMEn realidad el escaneo que hacen paginas como VirusTotal, etc. no realmente te dice que evades totalmente el Antivirus, es simplemente a la hora de
Bueno, de todas las cosas que tenia pensadas, probemos las mas facil, y quedo FUD.
Es muy sencillo como unas 20 lineas de ASM y un cifrado XOR como dije, por eso me sorpendio ya que gente utiliza el RC4, RC5, y aun asi tiene detecciones...
Apenas tuve que meter code "basura" en las islas del code...
El analisis lo hizo @Vaagish en una de esas paginas de escaneo que en teoria no distribuye nada, no se si el Kaspersky tendria todos sus modulos de proteccion activos, pero en teoria si, no?
escanear el archivo, Antivirus como Kaspersky hacen más que sólo escanear, ponen el archivo en entorno aislado y es ejecutado virtualmente
analizado cada acción, etc. la única manera de saber si esta evadiendo por completo es ejecutándolo en un sistema con el Antivirus e incluso a la hora
de escanear no recomiendo fiarse al 100% de los resultados de paginas de escaneo ya que podrían no mostrar el verdadero resultado, las razones son
varias algunas paginas tiene un 'time out', desactualización de base de datos/versión, configuración del Antivirus y hay más, esto lo he comprobado
incluso con VirusTotal.
Cita de: cpu2 en 10 Agosto 2014, 13:06 PMEn realidad esto debería de ser de esa manera si realmente estas evadiendo el Antivirus completamente, aunque también podría afectar un mal diseño
bastante currada no es como una cualquiera, si esta sin cifrar tenia por lo menos unas 10 - 15 detecciones creo, y luego con el suyo unas 5 y el mio que do FUD, significa que dejaria FUD cualquier cosa depende de lo complejo que sea el malware o payload no?
Un saludo.
del malware por ejemplo uno que escriba constanmente al disco, registro o creando procesos, hilos , etc. cualquier acción que sea interceptada por
el Antivirus podría afectar al malware en tiempo de ejecución. Por eso un error muy común que la gente hace es cifrar algún programa dummy
luego de que el RunPE es ejecutado y el Antivirus no lo detecta ya suponen que el cualquier malware será indetectable en tiempo de ejecución, eso
es falso.
Al final si encuentran un método que realmente funciona mi consejo es que olviden ir por el 'buen' camino, tendrían que estar realmente en el
área de seguridad informática y tener algo 'grande' sino sucederá lo más probable simplemente obtendrán un feedback, la venta o servicio de
ofuscación de programas contra prorgramas de seguridad no es un delito si saben hacerlo bien.