Evadiendo al Thunder_byte...
-------------------------------------------------------------------------------
Bueno, en esta secci¢n veremos algunos de los m‚todos de evaci¢n de an lisis
heur¡sticos..............pero basta, suficiente charla..!


A) Reconocimiento de MZ
  ^^^^^^^^^^^^^^^^^^^^
Muchos de los antivirus con heur¡stica, joden las bolas con este tema:
EXE/COM determination!!! WARNING CATASTROFE MUNDIAL!!!
Bueno, para no asustar a los usuarios de estos programas podemos, en el momen_
to de verificar si es MZ, en vez de verificar 'ZM' directamente.. verificar
byte x byte... : primero si es 'M' y despues si es 'Z'

B) Deschave de la rutina de b£squeda
  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Una manera para anular esta otra falsa alarma :-), es en vez de buscar *.COM
por ejemplo, buscar "*.C?M" , lo que signinfica un gran porcentaje de las po_
sibilidades.. Una vez que ya encontramos alg£n file que cumpla con esta condi_
ci¢n, lo £nico que hace falta saber, es si la letra del medio es una "O".
Con esto el Tbav, por ejemplo se calla la boca.

C) Llamadas a servicios no documentados
  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Ahora, esto es una de las boludeces mas grandes del planeta...
En vez de por ejemplo hacer un :
                                MOV AX, 3546h
                                INT 21h
hacer:
                                PUSH 3546h
                                POP AX
                                INT 21h
(No puedo creer que no se les haya ocurrido...:)

D) Vuelta al Entry Point
  ^^^^^^^^^^^^^^^^^^^^^
Otra falsa alarma del tbav (que programa tan boludo!) es el reconocimiento del
regreso al entry point. Pero no desesperar.... porque este bug se puede corre_
gir de la misma manera anterior.
Por ejemplo en un .com ser¡a esto :
                                MOV AX, 100h
                                JMP AX
entonces lo cambiamos por :
                                PUSH 100h
                                POP AX
                                JMP AX

E) Acceso Sospechoso a Archivos
  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Otra cosa que no le gusta al tbav es el momento en que el virus CAMBIA los a_
tributos del file.. Entonces ya saben que hacer : lo mismo que antes.
Ocultar el servicio.....en vez de llamarlo MOViendo, llamarlo PUSHeando y
POPeando.

F) Flexible Entry Point
  ^^^^^^^^^^^^^^^^^^^^
Otra actitud que no le gusta, es cuando calculamos el offset... (el tema de
BP y esa mierda).. Bueno, para esto hay un camino paralelo...
En vez de hacer :
               CALL    FALSO
       FALSO:
               POP     BP
               SUB     BP, OFFSET FALSO
               ...
               ...
podemos hacer lo siguiente..:

               CALL    FALSO
       FALSO:
               MOV     DI, SP
               MOV     BP, WORD PTR SS:[DI]
               SUB     BP, OFFSET FALSO
               INC     SP
               INC     SP
               ...
               ...
Lo que estar¡amos haciendo, es simular un POP... con esto el TB no se entera.
Ahora que cagamos al Tbav, caguemos al F-prot....

A) Ejecutemoslo !! jajja

You are viewing proxied material from texto-plano.xyz. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.