Hola a todos, primero, debo decir que del malware no soy muy conocedor y a continuacion, explicarles mi problema:
Bien, estoy utilizando el Darkcomet(5.3.1) contra Win7(server y client), lo cifro con un crypter que he modificado desde codigo y binario, y aunque no es FUD, se ha hecho indetectable para el Microsoft Forefront Endpoint 2010 y es ese con el que estoy trabajando. Sin proteccion todo funciona bien, se conecta, no se rompe. Sin embargo, cuando activo la proteccion, sigue sin detectarlo y hasta lo ejecuto y se logra ver en el panel del darkcomet pero pasan no mas de 5 segundos y se pierde la conexion porque el AV lo detecto. Se que el AV esta detectando alguna accion maliciosa,seguramente, de un proceso(el RAT) y lo elimina pero quisiera saber: ¿que mas puedo hacer si en el analisis estatico del AV aparece indetectable? Ideas!
Gracias!
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV
Saludos!
ANTRAX
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV
Saludos!
ANTRAX
Exactamente, como dijo
ANTRAX.
Usaste un crypter como su nombre lo dice
SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~
Debo utilizar uno y despues el otro o puedo programarlo en el de scantime que ya tengo? , Viendolo desde el lado programatico yo podria podria decir que si, si van a ser tareas diferentes(primero descifro y luego lo "oculto" en el runtime) pero quiero saber tu opinion.
Gracias Antrax!
PD: Seguro andare molestandote si no me ubico bien con la info de los scantime
Saludos,
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV
Saludos!
ANTRAX
Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~
Bueno, creo que Kodeinfect ya respondio sobre mi segunda duda. Seguire dandole!
Gracias Kodeinfect!
Saludos,
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
Eso es por que el Crypter es Scantime y no Runtime. Es por eso que al ejecutarlo, salta el AV
Saludos!
ANTRAX
Exactamente, como dijo ANTRAX.
Usaste un crypter como su nombre lo dice SCANTIME, que a la hora de escanear es indetectable mas a la hora de ejecutarse no..
Runtime, vendría siendo el opuesto, es indetectable a la hora de correrlo, la mayoría de RUNTIME viene junto con SCANTIME. Un saludo ~
Los crypters scantime (los comunes, el clasico RunPE), hoy en dia, son como los scantime. Que pasa?
Se ejecuta el crypter, desencripta el fichero en memoria y lo ejecuta y Ahi es cuando lo deteca, cuando queda descifrado en memoria.
Ademas el metodo esta quemadisimo, si no lo detectan de esta manera hookean las funciones que mas se utilizan y asi muchisimas maneras de detección.