comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[HOT] Avira Bypass

  • 7 Respuestas
  • 4232 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Karcrack

  • *
  • Underc0der
  • Mensajes: 87
  • Actividad:
    0%
  • Reputación 0
  • Se siente observado ¬¬'
    • Ver Perfil
« en: Junio 16, 2013, 06:29:48 pm »
Bueno, siendo Avira el antivirus que más me ha tocado los cojo*** a la hora de codear malware me puse a analizar porque saltaba la más famosa de sus detecciones (TR/Dropper.Gen)... Ésta salta por muchas razones... pero he descubierto una que no he visto nunca documentada en ningún foro :P

Básicamente Avira detecta como Dropper una aplicación en VB6 si ésta gasta __vbaAryLock/__vbaAryUnlock... Estas funciones sirven para evitar que al llamar a una función el Array que pasas como parámetro cambie de tamaño. Como dato diré que sencillamente llaman a sus funciones análogas en OLEAUT32.

Y ahora lo interesante ¿Cómo narices evitamos llamar a esas APIs si tenemos que pasar un item de un Array a una función? La única forma que se me ha ocurrido a mí es usando la estructura SAFEARRAY (de la que están compuestos todos los Arrays en VB6) para acceder al puntero con los datos del array.
Tal que así:
Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
DWORD[DWORD[VarPtrA(arr)] + &HC]
Siendo VarPtrA() una declaración especial de VarPtr() que acepte como entrada Arrays :D No pongo código de ejemplo para dejar algo de trabajo al lector :P

Saludos! ;D

Otro pequeño tip :D
Para saltarse en algunas ocasiones Avira-TR/Dropper.Gen o F-PROT-W32/VBTrojan.9!Maximus basta con establecer el FormCount del VBHeader a 0 aún teniendo formularios en tú aplicación (eso sí, éstos no se cargarán)
I code for $$$.

(PGP ID 0xCC050E77)
ASM, C, C++, VB6... skilled [malware] developer

Desconectado ZanGetsu

  • *
  • Underc0der
  • Mensajes: 325
  • Actividad:
    0%
  • Reputación 0
  • I ZanGetsu
    • Ver Perfil
  • Skype: thenicox
  • Twitter: black_zangetsu
« Respuesta #1 en: Junio 16, 2013, 06:35:31 pm »
Gracias, muy bueno

Desconectado k0ws

  • *
  • Underc0der
  • Mensajes: 145
  • Actividad:
    0%
  • Reputación 0
  • I'm Back
    • Ver Perfil
  • Skype: k0wsit0
« Respuesta #2 en: Junio 16, 2013, 08:16:04 pm »
Hace tiempo tontee por esos lares obteniendo algún que otro resultado (Hablando siempre desde el código XD), pero lo tuyo es superior bro, enhorabuena!



-Saludos-

Desconectado inzect02

  • *
  • Underc0der
  • Mensajes: 13
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #3 en: Junio 17, 2013, 05:41:13 pm »
 ??? No se por que se complican xD.
Ofuscando código lo tienes todo

Desconectado k0ws

  • *
  • Underc0der
  • Mensajes: 145
  • Actividad:
    0%
  • Reputación 0
  • I'm Back
    • Ver Perfil
  • Skype: k0wsit0
« Respuesta #4 en: Junio 17, 2013, 08:13:24 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
??? No se por que se complican xD.
Ofuscando código lo tienes todo

Pero asi no se aprende...

Desconectado Karcrack

  • *
  • Underc0der
  • Mensajes: 87
  • Actividad:
    0%
  • Reputación 0
  • Se siente observado ¬¬'
    • Ver Perfil
« Respuesta #5 en: Junio 18, 2013, 02:54:46 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
??? No se por que se complican xD.
Ofuscando código lo tienes todo
¿Ofuscar el código? ¿El código que genera VB6? Eso sí es complicarse.

En otros lenguajes como C/ASM sí puedes simplemente ofuscar el código, aquí no basta con ofuscar el código porque la parte detectada tiene que ver con el paso de arrays como parámetros y la forma en que VB6 lo maneja.
I code for $$$.

(PGP ID 0xCC050E77)
ASM, C, C++, VB6... skilled [malware] developer

Desconectado Frade

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Enero 23, 2014, 02:55:26 pm »
He indagado sobre el lo que recomiendas, pero sin embargo tengo la duda de como pasas los datos del split.
Recomiendas algo? Usas Split() realmente?

Aprovecho para agradecerte por la info al inicio del post

Desconectado crackerfull

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #7 en: Marzo 08, 2014, 06:23:35 pm »
interesante
gracias

 

¿Te gustó el post? COMPARTILO!



Bypass AVG Identity Protection [By geminis_demon]

Iniciado por Cronos

Respuestas: 6
Vistas: 2813
Último mensaje Agosto 04, 2011, 11:45:10 pm
por yarito