Minotauro nº1:(TEXT_004.001):14/05/1994 << Back To Minotauro nº 1
Evadiendo al Thunder_byte... ------------------------------------------------------------------------------- Bueno, en esta sección veremos algunos de los métodos de evación de análisis heurísticos..............pero basta, suficiente charla..! A) Reconocimiento de MZ ^^^^^^^^^^^^^^^^^^^^ Muchos de los antivirus con heurística, joden las bolas con este tema: EXE/COM determination!!! WARNING CATASTROFE MUNDIAL!!! Bueno, para no asustar a los usuarios de estos programas podemos, en el momen_ to de verificar si es MZ, en vez de verificar 'ZM' directamente.. verificar byte x byte... : primero si es 'M' y despues si es 'Z' B) Deschave de la rutina de búsqueda ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Una manera para anular esta otra falsa alarma :-), es en vez de buscar *.COM por ejemplo, buscar "*.C?M" , lo que signinfica un gran porcentaje de las po_ sibilidades.. Una vez que ya encontramos algún file que cumpla con esta condi_ ción, lo único que hace falta saber, es si la letra del medio es una "O". Con esto el Tbav, por ejemplo se calla la boca. C) Llamadas a servicios no documentados ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Ahora, esto es una de las boludeces mas grandes del planeta... En vez de por ejemplo hacer un : MOV AX, 3546h INT 21h hacer: PUSH 3546h POP AX INT 21h (No puedo creer que no se les haya ocurrido...:) D) Vuelta al Entry Point ^^^^^^^^^^^^^^^^^^^^^ Otra falsa alarma del tbav (que programa tan boludo!) es el reconocimiento del regreso al entry point. Pero no desesperar.... porque este bug se puede corre_ gir de la misma manera anterior. Por ejemplo en un .com sería esto : MOV AX, 100h JMP AX entonces lo cambiamos por : PUSH 100h POP AX JMP AX E) Acceso Sospechoso a Archivos ^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Otra cosa que no le gusta al tbav es el momento en que el virus CAMBIA los a_ tributos del file.. Entonces ya saben que hacer : lo mismo que antes. Ocultar el servicio.....en vez de llamarlo MOViendo, llamarlo PUSHeando y POPeando. F) Flexible Entry Point ^^^^^^^^^^^^^^^^^^^^ Otra actitud que no le gusta, es cuando calculamos el offset... (el tema de BP y esa mierda).. Bueno, para esto hay un camino paralelo... En vez de hacer : CALL FALSO FALSO: POP BP SUB BP, OFFSET FALSO ... ... podemos hacer lo siguiente..: CALL FALSO FALSO: MOV DI, SP MOV BP, WORD PTR SS:[DI] SUB BP, OFFSET FALSO INC SP INC SP ... ... Lo que estaríamos haciendo, es simular un POP... con esto el TB no se entera. Ahora que cagamos al Tbav, caguemos al F-prot.... A) Ejecutemoslo !! jajja