tag:blogger.com,1999:blog-4816745650066414070.post5715837885698186909..comments2023-10-21T16:39:06.849+02:00Comments on El blog de Thor: Ofuscación de la IT, consecuenciasUnknownnoreply@blogger.comBlogger6125tag:blogger.com,1999:blog-4816745650066414070.post-69321005480759309592011-04-19T02:31:48.512+02:002011-04-19T02:31:48.512+02:00Gracias por los comentarios, en su día probé a ir ...Gracias por los comentarios, en su día probé a ir haciendo un downloader cada vez menos detectado usando distintas técnicas. Posiblemente lo vuelva a intentar.Francisco Ocahttps://www.blogger.com/profile/04619209094503908585noreply@blogger.comtag:blogger.com,1999:blog-4816745650066414070.post-73504806506805357952011-04-19T01:33:38.730+02:002011-04-19T01:33:38.730+02:00Buenas,
esta muy bien tu blog lo eh descubierto gr...Buenas,<br />esta muy bien tu blog lo eh descubierto gracias a una entrada en securitybydefault,me gustaria ver mas investigacion en este campo de saltarse AV's,en este caso en concreto se me ocurre algunas cosas que creo que seria interesante probar,por ejemplo intentar descargar un txt en vez de un exe,distintas formas de llamar a las funciones y tambien como an comentado por ahi poner un retraso entre la descarga y la ejecucion.matugmhttps://www.blogger.com/profile/13190925532510526082noreply@blogger.comtag:blogger.com,1999:blog-4816745650066414070.post-31746208962212634442011-04-18T16:08:13.905+02:002011-04-18T16:08:13.905+02:00Entonces prueba a "jugar" con la cadena ...Entonces prueba a "jugar" con la cadena "HTTP://" a ver que pasa...<br /><br />Me encanta tu blog. Si no es mucho pedir, sigue en esta línea :)<br /><br />Saludos.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4816745650066414070.post-40517723199178281552011-04-17T22:56:09.477+02:002011-04-17T22:56:09.477+02:00Hola,
Pero fijate que si el antivirus para saber...Hola, <br /><br />Pero fijate que si el antivirus para saber que se va a llamar a la API de descargar un fichero primero tiene que leer la Import Table, sino no tiene la menor idea de a que API se va a llamar. De lo que deduzco que son capaces de leer correctamente la IT, aun ofuscada. ¿Emularan al loader de windows o algo asi?<br /><br />También me he fijado que suprimiendo completamente la IT muchos antivirus aun siguen detectandolo como downloader parece que la ruta "http://" les basta para marcar el archivo como sospechoso.<br /><br />Definitivamente tengo que realizar mas pruebas al respecto.<br /><br />Saludos!Francisco Ocahttps://www.blogger.com/profile/04619209094503908585noreply@blogger.comtag:blogger.com,1999:blog-4816745650066414070.post-347096795258563622011-04-17T17:52:42.995+02:002011-04-17T17:52:42.995+02:00Hola thor,
el problema está en que se hace la lla...Hola thor,<br /><br />el problema está en que se hace la llamada a la función de descargar un archivo y seguidamente, se ejecuta y se cierra la aplicación, si no cierras la aplicación y la ejecución del malware posterior se hace en un intervalo, verás que vuelves a dejar indetectable a otro par de av's, saludos!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-4816745650066414070.post-1070271967958029532011-04-16T02:49:07.183+02:002011-04-16T02:49:07.183+02:00Quizá si se basa en buscar siertas apis, y como no...Quizá si se basa en buscar siertas apis, y como no es capaz de leeras x.x<br />Lindos mensajes Thor, parecen cartas de amor :P<br />Saludos!The Swashnoreply@blogger.com