Jump to content
Nytro

Bypassing Anti-virus using Code Injection Technique

Recommended Posts

Posted

Vazusem un videoclip facut de muts (Mati Ahroni) bazat pe aceeasi tehnica. Nu stiu ca de eficienta e, e posibil sa fie detectata de scanarile heuristice moderne.

Am vrut sa fac un packer pe aceasta idee, poate chiar o sa fac, dar am niste chestii pe cap vreo doua saptamani.

Posted

Am downloadat injector-ul, din pacate e detectat de avira. Eu folosesc metoda urmatoare:arhivez dll-ul(executabilul) cu rar. Arhiva e parolata! Pun in exe arhiva ca resursa. Dupa lansare dezarhivez fisierul(in memorie). Daca e dll injectez in memoria unui proces, daca e executabil lansez direct din memorie. Important e ca fisierul "sa ramina tot timpul in aer", sa nu atinga hard-ul! Metoda o folosesc de mult, si n-am avut probleme nicodata. Oameni cauta crypterul perfect, un fisier arhivat cu Rar + parola e FUD 100% :).

Posted

Sa tii un executabil de exemplu, ca resursa, ca sectiune sau orice altceva, si acel fisier sa nu fie detectabil e banal. Eu pus si simplu adaugam "1" la fiecare octet, si 255 il faceam 0 si nu mai era detectabil.

Partea detectabila e loader-ul, codul care incarca executabilul in memorie, sau dropper-ul, partea de cod in care stub-ul se autociteste sau se copiaza pe nu stiu unde, sau "Anti-****"-urile...

Asta e greu. Pe ideea cryptarii sectiunii de cod a unui executabil s-ar putea face niste incercari, nu ar mai fi trebuit incarcat in memorie, doar la executie sa se modifice sectiunea de cod, entrypointul poate sa fie acelasi, dar trebuie adaugat codul de decryptare acolo, sectiunea trebuie sa fie MEM_WRITE, sunt cateva lucruri care trebuie facute, dar merge. :)

Posted

In orice caz va fi din ce in ce mai greu(indiferent de metoda folosita)! De exemplu Commodo Personal Firewall, care e free!!!, vede toate procesele invisibile, detecteaza: code injection, memory injection, global hooks + foloseste sandbox technology...eu n-am vazut un program(trojan, rootkit, etc) care sa treaca de commodo!

Posted

Probabil tehnologie anti-rootkit. Ma uitam la videoclipuri de pe Sysinternals si am vazut cam cum functioneaza. Verifica fisierele dintr-un folder folosind API-urile clasice, de exemplu. Apoi aceeasi verificare folosind acces brut la sistemul de fisiere NTFS. Daca lipseste ceva, clar, e ascuns. Asta ar fi o idee. Oricum, solutii sunt multe dar foarte complicate. Se poate verifica de SSDT hooks, e complicat. Vreau ca pe viitor sa ma axez tocmai pe acest domeniu, am inceput sa citesc Windows Internals 5th Edition. Momentan nu stiu foarte multe nici eu...

Posted (edited)

Static te contrazic, eu zici sa imi citesti topicul despte data stream ca sa intelegi cam care e treaba de rootki's. Si hai sati mai spun o chestie despre processele inviziblie, am un program facut de mine care desi e acum e detectat de av's inca ascunde procesele asa de bine incat nimic nu le detecteaza am testat cu n-unelte, deci nu poti spune ca detecteaza orice metoda, mai sunt is altele care la fel....

Metode ar fi sa faci bypass la av's, citisem un articol care era cam slab facut...oricum omul explica cat de cat clar, cum foloseste el CreateProcess CreateRemoteThread si MoveMemory sa faca toate astea.

Oricum parerea mea , raman tot la ideea ca daca ascund bine procesul, dau free la dll care n-am ce face cu el, ma mai folosesc si de NTFS data stream (ADS) daca e nevoie fac si ceva multithreading, un pic de ACL/DACL nu ai ce sa-i faci.

Bine faza cu multithread si free .dll nici nu e nevoie atat cat le ai in data streaming ACL/DACL

Bineinteles varianta scurta tot un crypter ramane;))

Sa ma contraziceti va rog daca nu am dreptate numai tin minte sigur, insa MCafe cum scaneaza arhivele parolate??

Edited by me.mello
Posted
Static te contrazic, eu zici sa imi citesti topicul despte data stream ca sa intelegi cam care e treaba de rootki's!

Am citit topicul! Interesant!

hai sati mai spun o chestie despre processele inviziblie, am un program facut de mine care desi e acum e detectat de av's inca ascunde procesele asa de bine incat nimic nu le detecteaza am testat cu n-unelte, deci nu poti spune ca detecteaza orice metoda, mai sunt is altele care la fel....

Poti sa-mi trimiti executabilul, sa-l testez un pic?

Posted (edited)

Off: Eu sunt @IceyJoke kw mi-a schimbat numele ca asa l-am rugat.

Da @paul cu asta ma ocup,imi place sa programez windows si atat.

Si da asa este im cer scuze @staticwater, am intarziat ca am facut un topic cu pdf si a durat ceva timp, uitati un link aici....e printre primele versiuni asta a fost facuta pentru rst sa ii arat lui nytro ca nu sunt oarecare de vorbesc aiurea....long story

Nu are multe functii am sters din ele l-am lasat cat sa ascunda un process: explorer.exe

Acum trebuie sa mentiunez versiunea asta....numai e buna de nimic pentru mine(am alta), chiar si asa codul sursa nu il dau...prea mula futere de creier pentru el. cu toate astea e detectat cam de toate av's cu tot felu de nume care m-a facut sa rad prima data:))

Desi e detectat, el tot isi face treaba.

Cand deschideti aplicatia, ea va ascunde explorer.exe, cand o inchideti [X] ea va readuce explorer.exe in task manager...sau oricare altul, nu contine niciun fel de virus sau orice altceva inafara de STRICT ce am zis eu ca face.

GirlShare - Download Sev7n.Sins.exe have fun :*

Habar nu am pe ce mai merge pe xp sp3 acum l-am testat merge tipla. Nu vreau pm-uri cu datimi sursa va rog ca ajung la disperare.

Pun threaduri sa invatati ceva...puteti cere sfaturi nu mura in gura!!!

Edited by me.mello
Posted (edited)

Da din pacate asa este...dar e printre primele versiuni (prin 2008), nu am mai adaugat protectie. Am si zis...am versiune care trece de orice...asta practic se folosteste de un driver kernel...iar softul de o detecteaza el practic detecteaza serviciul(driver service) ascuns care tine adresa procesului, daca as sterge aceasta functie de stocare in serviciu nu ai mai putea recupera procesul el ar sta ascuns pana la restart. Iar acest driver service e folositor la anuntul clasei(init() care practic face anuntul serviciului) deci e inca o problema...la versiunile noi nu ma folosesc de aceasta. Cam asta face Comodo, el practic are grija de serviciu, nu are cum un programel sa imi citeasca ce fac eu cu procesoru'...e bypass kernel, doar eu stiu a face ceva anti-ascuns pentru mine.

Nustiu daca ma intelegi.Insa e nasol chiar nu am stiut ....oricum sa fim seriosi @staticwater cati stiu de Comodo, majoritatea folosesc procexp sau taskmgr. Si daca ar fi sa fac ceva intradevar ascuns nu cred ca m-as folosi de o sursa antica de prin 2008;))

Edited by me.mello
Posted
Am downloadat injector-ul, din pacate e detectat de avira. Eu folosesc metoda urmatoare:arhivez dll-ul(executabilul) cu rar. Arhiva e parolata! Pun in exe arhiva ca resursa. Dupa lansare dezarhivez fisierul(in memorie). Daca e dll injectez in memoria unui proces, daca e executabil lansez direct din memorie. Important e ca fisierul "sa ramina tot timpul in aer", sa nu atinga hard-ul! Metoda o folosesc de mult, si n-am avut probleme nicodata. Oameni cauta crypterul perfect, un fisier arhivat cu Rar + parola e FUD 100% :).

Intradevar este o metoda care pare simpla si eficienta , dar daca ai putea face un tutorial video sa vad exact pasii care trebuie urmati si cum se face mai exact , ti-asi fi foarte recunoscator

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...