Mensajes

Creo que no entendiste mi comentario... Sólo dije que RegShot es mejor ya que no es posible detectarlo. Imagino que en eso estás de acuerdo conmigo...
Actualiza a la última versión para tener pruebas consistentes

Suerte!

Ocultarlo de programas Anti-Virus? Porqué alguíen querría ocultar Procmon de Anti-Virus?
Estamos hablando de filtrar datos de Anti-virus no de Malware.

Con RegShot la comparación es automática.
Procmon es detectable por ser en tiempo de ejecución. Con RegShot no alteras el proceso del AV, así que no tendrás problemas si el AV comprueba si alguien intercepta sus llamadas.

Que estas hablando? Acaso lo haz comprobado por ti mismo para decir algo como eso? Procmon no es bloqueado por antivirus, el ejecutable y el driver estan firmados por Microsoft. De lo contrario indicá qué Antivirus esta bloqueando o detectando eso de dices que hacen.

Es más fácil todavía. Tan sólo crea una imagen del sistema (con RegShot por ejemplo) antes y después de añadir un fichero/carpeta a la lista de exclusión. Así podrás ver dónde se almacena e intentar tu editarlo manualmente. Si puedes avisa

Procmon es mejor:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Monitoreo en tiempo de ejecución.

Sí, todos esas asunto y algunos más son los del porque nunca codificar un malware en tal lenguajes, pero el no entiende porque
es notable que no tiene experiencía, cualquier persona con un minimo de experiencia y conomiento en malware sabe acerca de eso.

mmm... interesante.. evidentemente tiene que haber un propósito para inyectar una dll,, no creo que sea coincidencia que lo hagan varios antivirus,, probablemente esa dll pueda resolver mejor que es lo que esta haciendo el ejecutable en todo momento, no se, se me ocurre por estar inyectada en el mismo ejecutable.. Hay algo que nunca entendí, no es posible "atacar" al mismo antivirus y desactivar algún modulo? Por ejemplo la inyección? Claro, eso debería ser en Ring0.. pero se tiene que poder, no?

Supongamos este proceso:

1) Archivo Malo.exe analiza el SO y el AV instalados..
2) Malo.exe procede a descargar un modulo de kernel acorde al SO y al AV desde un servidor X
3) Malo.exe ahora instala los módulos de kernel necesarios (Rootkits podríamos decir)
4) Malo.exe descarga otro archivo, "Malo2.exe", este archivo queda oculto por el/los Rootkits antes instalado.
5) Malo.exe se elimina, o queda a la espera de una nueva victima.. (Como guste mas)

Bueno, si Malo.exe es indetectado, lo demás es mas sencillo,, dedicarle tiempo a los módulos de kernel, hacer uno por SO y AV posibles (de los mas usados, claro)

Que les parece?  

Ninguna necesidad de cargar un modulo de kernel para remover cualquíer AV de hoy en día incluyendo Kaspersky 2014 puede ser removido desde modo usuario.
Esta es una colección vieja pero algunos aún funcionan y es buena referencía para ideas: AV shit

X64 core, sea cual sea mi velocidad de programación todos sabemos que programar en ensamblador (desde cero sin funciones o macros mágicos)

Quien carajos te dijo que sería buena idea codificar un troyano: Cliente y Server en Ensamblador? Y más si estas iniciando no?

Ahora viene la parte más cómica, "Java es una basura" amigo despierta no todo es ensamblador en la vida, para mi es un excelente lenguaje, lo aplico día a día, me ayuda completamente en ing. Iversa pero no por eso tengo que usarlo para todo, tampoco creo que hayas hecho algún compilador como para venir a decir que lenguaje de programación es bueno y cual es malo, es fácil criticar cuando no se sabe del tema, pero es más difícil investigar, tener el conocimiento y dar una idea de utilidad.
Buena analogía, ¿Qué runtime es el más usado java verdad?

Estamos hablando acerca de codificación de malware y estamos en la sección de Diseño de malware, cierto? Qué realmente buen malware es diseñado en esas
basuras hoy en día? De nuevo, estamos hablando de malware cierto? Y sí, .NET's,VB 5/6, Java son usados por niños para escribir sus "Malware's".
Y por supuesto, nunca dije que mi lenguaje como primero fuese Ensamblador, Yo uso el Rey de los lenguajes de programación: C++.
Pero vamos, recuerden destruir es facil ( Ing.Inv ) , Construir es difícil ( Programar ).

Queres una idea: Empeza a programar en un lenguaje verdadero: C++. Vas a poder notar la gran diferencía y la potencía que tiene.

Si el avance es lento es porque uno es lento para escribir el codígo.
Apesar de eso, es totalmente normal, mirar en Stuxnet uno de los malware más avanzados en la historía, diseñado por más de 25 programadores y tomo más de 1 año en la codificacíon creo que más de 2 años apesar. Eso sin tomar en cuenta que todos los programadores en el proyecto habrian tenido habilidad,experiencia,conocimiento en el area lo cual te ahorra meses de diseño y codificación.

Y además, Malware de verdad es hecho en C/C++ o Ensamblador, no basuras como .NET,VB,Java,etc.

Eso es normal en Antivirus, lo mismo en Comodo,Panda,etc. Antivirus injectan desde modo kernel o al menos lo deberían de hacer desde ese punto.
Aunque también existe varias maneras como por ejemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Aunque este tipo de metodos de carga sería inutil/innecesario en programas antivirus.

Así que impedir la inyección de la DLL a tu proceso el cual ni siquiera se ha ejecutado ninguna instrucción de tu codigo es imposible, pero una vez tu codigo en ejecución podrias intentar desmapear/Descargar la DLL aunque realmente un buen antivirus lo preveniría.

Realmente es de encontrar el punto hasta donde Antivirus protejen sus propios componentes, usar alternativas, usar nuevas rutas del sistema operativo que aun no son controladas por Antivirus, etc. Y pensando bien, Si diseñara mi propio antivirus, porqué cargaría una DLL en todo proceso? Cuál es la necesidad del modulo, cual seria la tarea? la cual no podria hacerse desde mi modulo de kernel? Espero que no sea la misma que los idiotas de Comodo: hookear algunas funciones en modo usuario 

up

[Saludos compañeros, hace unos dias me estaba informando de nuevo sobre el temita de los keyloggers por unos asuntos y tal, bueno la cuestion es que quiero saber por cual decantarme y me han dicho que este que menciono en el titulo ( All In One Keylogger ) es una buena adquisicion. Me vendria como anillo al dedo que alguien me comentase algo respecto a este programita, tambien valoraria mucho alguna recomendacion sobre algun buen keylogger. Gracias]

Saludos compañeros, hace unos dias me estaba informando de nuevo sobre el temita de los keyloggers por unos asuntos y tal, bueno la cuestion es que quiero saber por cual decantarme y me han dicho que este que menciono en el titulo ( All In One Keylogger ) es una buena adquisicion. Me vendria como anillo al dedo que alguien me comentase algo respecto a este programita, tambien valoraria mucho alguna recomendacion sobre algun buen keylogger. Gracias

Luce como que fue codificado por niños, usa WH_KEYBOARD_LL lo cual lo hace de ninguna manera stealthy, son idiotas codeando basura.