Welcome to The Forum

Register now to gain access to all of our features. Once registered and logged in, you will be able to create topics, post replies to

existing threads, give reputation to your fellow members, get your own private messenger, post status updates, manage your profile

and so much more. This message will be removed once you have signed in.

Active Hackers

The best community of active hackers. This community has been working in hacking for more than 10 years.

 

Hacker Forum

Hacker from all countries join this community to share their knowledge and their hacking tools

    Hacking Tools

    You can find thousands of tools shared by hackers. RAT's, Bot's, Crypters FUD, Stealers, Binders, Ransomware, Mallware, Virus, Cracked Accounts, Configs, Guides, Videos and many other things.

      PRIV8

      Become a Priv8 user and access all parts of the forum without restrictions and without limit of download. It only costs 100 dollars, and it will last you for a lifetime.

      Read Rules

      In this community we follow and respect rules, and they are the same for everyone, regardless of the user's rank. Read the rules well not to be prohibited.

      Sign in to follow this  
      BreakPoint

      [Anti-heurística] Cómo Cansar a los AV + Ejemplo compilable

      Recommended Posts

      Cómo Cansar a los AV + Ejemplo compilable

       

      Bueno gente, hoy les traigo un ejemplo practico en forma de pseudo codigo:

      les voy a mostrar como hacer para evitar que la heuristica de TODOS los AV caigan de una manera sencilla

      El codigo que voy a usar de ejemplo es algo que programe recien que es detectado por 8 antivirus segun VirusTotal

       

      primero les presento el codigo detectado, el cual es una funcion para agregar una clave al registro.

       

      Hidden Content

        Give reaction to this post to see the hidden content.

       

      cualquier antivirus berretin se da cuenta de que

       

      Hidden Content

        Give reaction to this post to see the hidden content.

       

      es un virus (mas allá del nombre)

       

      entonces que vamos a hacer, vamos a lo que yo llamo "cansar" a los AV.

      les vamos a agregar ciclos redundantes a nuestro programa.

      Dado que los antivirus, ejecutan el programa en su "sandbox" para ver si tiene virus y esa ejecucion es limitada, que pasa si

      pasamos ese limite?, y bueno es facil deducir que no va a poder llegar a fondo.

      entonces lo que voy a hacer es separar las funciones, a una meterla adentro de un ciclo y las demas dejarla separadas.

      El ciclo es grande y ademas contiene un calculo de seno avanzado,

       

      aqui esta el codigo nuevo:

       

      Hidden Content

        Give reaction to this post to see the hidden content.

       

      fijese que agregue esto de mas

       

      Hidden Content

        Give reaction to this post to see the hidden content.

       

      que pasa entonces? el motor del antivirus se cansa y su heuristica no sirve para nada y que obtenemos

      obtenemos un lindo 0

       

      File name: registro.exe

      Submission date: 2011-02-24 04:36:14 (UTC)

      Current status: finished

      Result: 0/ 43 (0.0%)

       

      NOTA: si bien engañamos a los AV nuestra CPU va a tardar en ejecutar todo eso,pasa que yo lo exagere, se puede bajar el numero de ciclos e ir probando, con algo mas razonable, pero bueno si es agregar algo al registro, no creo que joda que tarde 5 segundos mas :P

       

      un abrazo muchachos a los nuevos, a los viejos y a los de siempre

       

      LeoS *;D

       

      Hidden Content

        Give reaction to this post to see the hidden content.

      Share this post


      Link to post
      Share on other sites

      Re: [Anti-heurística] Cómo Cansar a los AV + Ejemplo compilable

       

      i love you

      Share this post


      Link to post
      Share on other sites

      Re: [Anti-heurística] Cómo Cansar a los AV + Ejemplo compilable

       

      Qué hay de un HIDS? detectaría el cambio en el registro?

      Share this post


      Link to post
      Share on other sites
      Guest
      This topic is now closed to further replies.
      Sign in to follow this