Jump to content
YOUR-AD-HERE
HOSTING
TOOLS
992Proxy

Locked Anti-Anti Virtuales by fudmario

fudmario

By INACTIVE fudmario
in Manuals & Guides

 Share

Recommended Posts

fudmario Aspiring Hacker

INACTIVE fudmario

Posted
Posted (edited)

Anti-Anti Virtuales by fudmario

 

Uno de los problemas que existen al momento de Realizar Análisis de Malware, es cuando nos encontramos con diversas técnicas que utilizadas para evitar ser analizados, entre ellas:

  • Verificar si estan cargadas ciertas DLLs (Ej: SandBoxie => SbieDll.dll).
  • Verificar la Existencia de algunos ficheros(Ej: Driver-VirtualBox => VBoxMouse.sys).
  • Verificar si algunos procesos estan en ejecución(Ej: VBoxService.exe, VMWareUser.exe, Wireshark.exe, etc.).
  • Verificar el identificador del Disco Principal.
  • Deteccion de Breakpoints, Presencia de Anti-Debuggers, etc...

 

 

En SI, un sin fin de formas que utilizan los malware's para evitar ser analizados.

 

En esta primera parte vamos a ver como modificar nuestro entorno Virtual, esto para eludir la técnicas que generalmente tienen ciertos Malware's para evitar ser ejecutados en entornos Controlados(suena repetitivo xD).

 

Vamos a modificar nuestra Maquina Virtual de "Virtual Box", al igual que se puede dejar indectectables los Malware's, tambien volveremos indetectable a nuestra Maquina Virtual por así decirlo.

 

Comencemos:

 

Parte 1:

En esta parte renombraremos ficheros, valores en registro, teniendo en cuenta que cada modificación debe realizarse verificando que no dañe nuestra VM.

 

Técnica #1 "VirtualBox Shared Folders Minirdr NP"

 

Comprueba si esta cargada esta DLL: "VBoxMRXNP.dll"

 

Lo que haremos será renombrarla: añadirle un caracter al el nombre o randomizar el nombre, creo que si randomizamos será muy dificil que sea detectado.

A por ello:

 

Cambiaremos el nombre del Fichero:

 

This is the hidden content, please

 

Y tambien lo modificaremos desde el Editor de Registro para que no cause ningun error.

 

This is the hidden content, please

This is the hidden content, please

 

 

This is the hidden content, please

 

 

 

Técnica #2 "VBoxMouse.sys"

 

De la misma forma anteriormente mostrada, renombraremos el nombre del fichero.

 

This is the hidden content, please

 

desde el Editor de Registro, tambien modificaremos, en las siguientes rutas:

 

This is the hidden content, please

En ImagePath, cambiaremos:

 

This is the hidden content, please

This is the hidden content, please

 

This is the hidden content, please

 

 

Técnica #3 "vboxservice.exe"

 

Más de lo mismo a renombrarlo.

 

This is the hidden content, please

 

Y modificarlo tambien en el Editor de Registro.

This is the hidden content, please

 

Vamos a modificar en ImagePath por el nuevo nombre del Fichero.

 

This is the hidden content, please

 

This is the hidden content, please

 

 

 

Técnica #4 "VirtualBox Guest Additions"

 

Cambiaremos el Nombre de la siguente Clave:

 

This is the hidden content, please

 

This is the hidden content, please

 

This is the hidden content, please

 

 

Parte 2:

Esta parte es similar al anterior hasta cierto punto, en la anterior parte modificamos por así decirlo permanentemente, pero en esta parte no se puede ya que al reiniciar se restablecerá las modificaciones realizadas ya que si no se podria dañar nuestra VM.

 

 

Técnica #5 "HARDDISK"

Modificaremos en el Editor de Registro:

This is the hidden content, please

en Identifier:

VBOX HARDDISK

por Cualquiera otra cosa.

This is the hidden content, please

 

 

 

Técnica #6 , Técnica #7 "SystemBiosVersion" | "VideoBiosVersion"

 

This is the hidden content, please

 

Modificaremos en informacion de Valor, de SystemBiosVersion y VideoBiosVersion por cualquier cosa.

 

This is the hidden content, please

 

Técnica #8 "Verificando el Tamaño del Disco"

En ocaciones tambien puede pasar que el Malware Revise si el tamaño de disco es menor a un valor dado, que generalmente son 20GB, 30GB ó 50GB esta técnica no se usa generalmente, pero hay les dejo el dato para que le puedan agregar en Expansion Dinamica a el Disco un Tamaño mayor a eso.

 

 

Test1:

This is the hidden content, please

 

This is the hidden content, please

 

 

Test2:

 

This is the hidden content, please

 

 

Hasta el momento solo se me ocurren esas, si alguien conoce otras técnica, comenten en el post para seguir añadiendo. Esto tambien Aplica a VMWare, Qemu, pero prefiero a VBOX ya que es gratuito.

 

 

Autor: fudmario

 

"Si deciden llevar esto a otros lados, se pide respetar la fuente y el autor de la Misma"

Edited by fudmario
Link to comment
Share on other sites
Guest
This topic is now closed to further replies.
 Share
Go to topic listing
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.