BreakPoint Posted June 3, 2012 Share Posted June 3, 2012 Cómo Cansar a los AV + Ejemplo compilable Bueno gente, hoy les traigo un ejemplo practico en forma de pseudo codigo: les voy a mostrar como hacer para evitar que la heuristica de TODOS los AV caigan de una manera sencilla El codigo que voy a usar de ejemplo es algo que programe recien que es detectado por 8 antivirus segun VirusTotal primero les presento el codigo detectado, el cual es una funcion para agregar una clave al registro. This is the hidden content, please Sign In or Sign Up cualquier antivirus berretin se da cuenta de que This is the hidden content, please Sign In or Sign Up es un virus (mas allá del nombre) entonces que vamos a hacer, vamos a lo que yo llamo "cansar" a los AV. les vamos a agregar ciclos redundantes a nuestro programa. Dado que los antivirus, ejecutan el programa en su "sandbox" para ver si tiene virus y esa ejecucion es limitada, que pasa si pasamos ese limite?, y bueno es facil deducir que no va a poder llegar a fondo. entonces lo que voy a hacer es separar las funciones, a una meterla adentro de un ciclo y las demas dejarla separadas. El ciclo es grande y ademas contiene un calculo de seno avanzado, aqui esta el codigo nuevo: This is the hidden content, please Sign In or Sign Up fijese que agregue esto de mas This is the hidden content, please Sign In or Sign Up que pasa entonces? el motor del antivirus se cansa y su heuristica no sirve para nada y que obtenemos obtenemos un lindo 0 File name: registro.exe Submission date: 2011-02-24 04:36:14 (UTC) Current status: finished Result: 0/ 43 (0.0%) NOTA: si bien engañamos a los AV nuestra CPU va a tardar en ejecutar todo eso,pasa que yo lo exagere, se puede bajar el numero de ciclos e ir probando, con algo mas razonable, pero bueno si es agregar algo al registro, no creo que joda que tarde 5 segundos mas :P un abrazo muchachos a los nuevos, a los viejos y a los de siempre LeoS *;D This is the hidden content, please Sign In or Sign Up Link to comment Share on other sites More sharing options...
THIAGO SIL Posted January 20, 2017 Share Posted January 20, 2017 Re: [Anti-heurística] Cómo Cansar a los AV + Ejemplo compilable i love you Link to comment Share on other sites More sharing options...
EmiD Posted November 21, 2017 Share Posted November 21, 2017 Re: [Anti-heurística] Cómo Cansar a los AV + Ejemplo compilable Qué hay de un HIDS? detectaría el cambio en el registro? Link to comment Share on other sites More sharing options...
Recommended Posts