viernes, 1 de marzo de 2024

 No hay ninguna descripción de la foto disponible.

 

 

TECNICAS ANTIVIRUS BYPASS
PARTE 1
 
Primeramente hablaremos en breve de como funciona un antivirus.
 

¿Cómo funcionan los antivirus?

El objetivo del software antivirus es determinar si un archivo es malicioso, y debe hacerlo con rapidez para evitar que afecte la experiencia del usuario. Dos métodos que se utilizan mucho en soluciones antivirus para buscar software malicioso son los análisis heurísticos y los basados en firmas:

  • El análisis heurístico examina la función de un archivo, y usa algoritmos y patrones para determinar si el software es sospechoso o no
  • El análisis basado en firmas examina la forma de un archivo, y busca cadenas y patrones que coincidan con muestras de malware conocidas

quienes crean malware pueden optar por interactuar de dos formas con el antivirus: una es en el disco y la otra en la memoria. Un ejemplo típico de interacción en el disco sería mediante un simple archivo ejecutable. El antivirus tiene más tiempo para analizar un archivo en el disco. Si se carga en la memoria, el antivirus tiene menos tiempo para interactuar y, por lo general, es más probable que el malware se ejecute sin problemas. (KS)

 
 
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
En el malware, se utilizan algunas técnicas para tratar de evitar los AV, VM y Sandboxes, con solo un propósito de poder instalar o ejecutar alguna rutina o dejar un proceso TSR maligno en la computadora y en siguientes líneas les explicaré algunas que eh usado y que enseño a detalle en mis cursos de certificación.
 
°° Técnicas de Bypass °°
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Esta técnica es conocida como Anti-depurador y es usada para intentar evitar los depuradores usando la API. "IsDebuggerPresent ()" de "Windows.h" para verificar si se está ejecutando un depurador como lo es OLLYDBG o algun otro por los antivirus.
 
Anti-VM / Anti-Sandbox / Anti-AV 
 
Cabe señalar que ya los mismo debuggers como ollydbg ya traen plugins para saltarse está protección.
 
°° Enumerar la función del proceso °°
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Enumera todos los procesos que se ejecutan en el sistema y se compara con el proceso en la lista negra, si se encuentra un proceso y esto es igual a cualquier proceso en la lista negra, devuelve -1 (identificado). 
 
°° API de Comprobación de aceleración °°
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
Primero, obtiene la hora actual y duerme 2 minutos, luego obtiene la hora nuevamente y compara, si la diferencia es menor que 2, devuelve -1 (identificado). 
 
°° Función de comprobación de dirección de Mac °°
""""""""""""""""""""""""""""""""""""""""
Obtiene la dirección mac del sistema y compara con las mac, en la lista negra, si la dirección mac del sistema es igual a cualquier mac en la lista negra devuelve -1 (identificado).

 

en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Crowdstrike -> Solución de errores de actualización de CrowdStrike con BitLocker habilitado

En este pequeño articulo ver como componer el problema de CROWDSTRIKE cuando esta habilitado el BITLOCKER, cabe resaltar que puede ser una e...