Copy Link
Add to Bookmark
Report
Minotauro Magazine Issue 01 04 Evadiendo al Thunder_byte...
Evadiendo al Thunder_byte...
-------------------------------------------------------------------------------
Bueno, en esta secci¢n veremos algunos de los mtodos de evaci¢n de an lisis
heur¡sticos..............pero basta, suficiente charla..!
A) Reconocimiento de MZ
^^^^^^^^^^^^^^^^^^^^
Muchos de los antivirus con heur¡stica, joden las bolas con este tema:
EXE/COM determination!!! WARNING CATASTROFE MUNDIAL!!!
Bueno, para no asustar a los usuarios de estos programas podemos, en el momen_
to de verificar si es MZ, en vez de verificar 'ZM' directamente.. verificar
byte x byte... : primero si es 'M' y despues si es 'Z'
B) Deschave de la rutina de b£squeda
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Una manera para anular esta otra falsa alarma :-), es en vez de buscar *.COM
por ejemplo, buscar "*.C?M" , lo que signinfica un gran porcentaje de las po_
sibilidades.. Una vez que ya encontramos alg£n file que cumpla con esta condi_
ci¢n, lo £nico que hace falta saber, es si la letra del medio es una "O".
Con esto el Tbav, por ejemplo se calla la boca.
C) Llamadas a servicios no documentados
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Ahora, esto es una de las boludeces mas grandes del planeta...
En vez de por ejemplo hacer un :
MOV AX, 3546h
INT 21h
hacer:
PUSH 3546h
POP AX
INT 21h
(No puedo creer que no se les haya ocurrido...:)
D) Vuelta al Entry Point
^^^^^^^^^^^^^^^^^^^^^
Otra falsa alarma del tbav (que programa tan boludo!) es el reconocimiento del
regreso al entry point. Pero no desesperar.... porque este bug se puede corre_
gir de la misma manera anterior.
Por ejemplo en un .com ser¡a esto :
MOV AX, 100h
JMP AX
entonces lo cambiamos por :
PUSH 100h
POP AX
JMP AX
E) Acceso Sospechoso a Archivos
^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Otra cosa que no le gusta al tbav es el momento en que el virus CAMBIA los a_
tributos del file.. Entonces ya saben que hacer : lo mismo que antes.
Ocultar el servicio.....en vez de llamarlo MOViendo, llamarlo PUSHeando y
POPeando.
F) Flexible Entry Point
^^^^^^^^^^^^^^^^^^^^
Otra actitud que no le gusta, es cuando calculamos el offset... (el tema de
BP y esa mierda).. Bueno, para esto hay un camino paralelo...
En vez de hacer :
CALL FALSO
FALSO:
POP BP
SUB BP, OFFSET FALSO
...
...
podemos hacer lo siguiente..:
CALL FALSO
FALSO:
MOV DI, SP
MOV BP, WORD PTR SS:[DI]
SUB BP, OFFSET FALSO
INC SP
INC SP
...
...
Lo que estar¡amos haciendo, es simular un POP... con esto el TB no se entera.
Ahora que cagamos al Tbav, caguemos al F-prot....
A) Ejecutemoslo !! jajja
