sNipeR-

Ola

De una vez por todas, para k no keden dudas, hay forma de anadir una clave al registo sin la entrada ser detectada por el KAV?
Ya he intentado de todo, encripcion, timers, nada va por lo menos para el KAV...
Sin ser en el [RUN], como se poderian anadir servicios?
Muchos AVS no tienen apenas entradas en el [RUN], tienen tambien servicios k os mantienen siempre activos. Como se hace esto?

Gracias

Salu2

Hendrix

Eso no se puede, ya ke todos los prgoramas ke registran entradas usan apis para manegar el registro, y el KAV las hookea, es decir, ve kaundo un programa las llama (intenta agregarse al registro), por lo tanto no se podra burlar al KAV a no ser ke lo apagues.....

Salu2

H4NG3R

Entonces hendrix si el KAV siempre pilla k se llama a la API de agregar al registro, cosa que era desperar, no podriamos agragar un registro k pareciera inofensivo? Es decir se puede camuflar un registro k llame una aplicacion "mala", yo k se por ejemplo llamando primero a un lnk o cosas asi??

H4NG3R

ElectroSPAIDER

Entonces me pregunto, cómo es posible que el KAV no salte al instalar el MSN o el TuneUp, por ejemplo? ???

sNipeR-

El mio salta siempre xDDD Mismo en la instalacion del msn jeje
Veo k tengo k seguir haciendo mis troyanos anadinso al RUN y siempre correndo el riesgo de k sea capturado al abrirse por la victima...

Salu2

ElectroSPAIDER

Y no sería viable la opción autoexec.bat, o win.ini?

sNipeR-

Nop, nada de eso funka ya :-\\

Los unikos k funkan son las entradas en el RUN y el inicio pero se capturan tan facilmente, ya no se k hacer...
Ayer intente los servicios pero tampoco he conseguido hacer algo...
Claro k puedes siempre injectar tu troyano/virus en un programa k ya tenga una entrada en el registro y k no se note, por ejemplo el windows messenger, el proces se llama msmsgs.exe y nadie lo usa.
El problema esk muchos lo kitan del PC...
Salu2

ElectroSPAIDER

Lo que yo no entiendo es cómo los programas corrientes se pueden añadir al registro sin advertencia ninguna.

H4NG3R

podrias hacer uno k no se guardara en el registro i k solo mirara k entradas ay en el registor i modificara uno para agragar em el registro el troyano de verdad sabes.
Mexpliko bien??

Hendrix

Sniper, lo ke te explike de infectar no hay problema, basta kon leer una clave del registro RUN, la ke sea, y sacar su contenido (en este kaso, la ruta del .exe), lo infectas y listo... ;D ;D


ElectroSPAIDER, todos los programas ke se intentan poner en el RUN son detectados o bien por el KAV po por el ZA.

Salu2

Hendrix

Hanger, esto lo detectan tambien....

Salu2

ElectroSPAIDER

Gracias por el aclaramiento, Hendrix. Si me permites te hago una pregunta, aunque ya la he hecho en otro post, viendo que eres un entendido en el Registro;

Para saber si alguien tiene el MSN Messenger instalado tendría que leer la clave RUN de su registro?

Y cómo podría utilizar el registro para conocer la versión de MSN instalada?

Gracias por adelantado Hendrix.

H4NG3R

pos la solcion es enviar a tomar por culo todos los sistemas anti-hack!!

jujujujuju

H4NG3R

Salut i força al canut

pd: el KAV k conyo es k estoy buscandolo i no lo encuentro, me slaen un huevo de progrmas . . .? (se k es una pregtuna tonta)

ElectroSPAIDER

Kaspersky Anti Virus

H4NG3R

juas me decia de este nseke del bitdefende ri del nod32 i tal . . .

I es bueno el KAV este???

ElectroSPAIDER

Uno de los mejores, quizás superado por el NOD32. Ambos son la élite de los Antivirus, digamos.

sNipeR-

Exacto, pero el KAV es muy mas seguro porque te pergunta lo k kieres hacer con cada cosa k le parece suspechosa, incluso es el uniko AV k conosco k salta kuando entra una entrada en el registro.
Salu2

MazarD

La solución así sin usar rollos de apihooking es utilizar claves así un poco mas desconocidas.
Creo que por poner un ejemplo usado pero no tanto como run pues lo de cambiar una extensión para que ejecute tu programa y luego ejecutas el programa original. No es directo pero para el caso ya vale :P

Otra que SEGURO que no canta y es la que uso yo es
HKLM/software/microsoft/windows nt/currentversion/windows
appinit_dlls con la ruta de una dll que en su dllmain ejecuta tu troyano

Hendrix

Komo siempre, me enkanta verte postear (por aki y en todos los foros) mazarD....

Esa ruta no la sabia, buena info....

La otra ruta ke se me okurre es Rune Once, ke se ejekuta antes ke el escritorio....

Salu2

sNipeR-

Hmm, podrias explicarte mejor en esto?

No entiendo k es el dllmain, podrias explicar?

Salu2

Hendrix

Creo ke alli se kargan todas las DLL's, el DLLMain es komo el Main de un modulo, es decir, ke se empieza a cargar desde hay....

Salu2

MazarD

Thx Hendrix

$sN!PER así para detallar un poco mas cualquier exe al ejecutarse si usa user32.dll (que es casi casi TODOS los exes) lo que hace es cargar las dlls que hay en esa clave del registro. Cuando se carga una dll lo primero que se ejecuta es el DllMain que cómo bien dice hendrix es el punto de entrada de la dll, desde ahí puedes ejecutar tu troyano y ya está. Pero claro, debes meter controles para que solo se ejecute una vez puesto que ese dllmain se lanzará cada vez que se lanze un exe.

Lo bueno del caso es que no tienes que esperar a que se ejecute ningún programa puesto que cuando windows ejecute el explorer.exe al iniciar ya se cargará tu libreria. No sé si me he explicado muy bien pero bueno.

Otra idea para ver claves de inicio que no sean detectadas es usar el starter o algo así(no recuerdo el nombre) de sysinternals te muestra todas las claves que provocan ejecucion al inicio, vas probando a ver cuales no cantan (y no petan el sistema xD)

Saludos
Saludos.

sNipeR-

Ok, gracias por la explicacion, lo entiendi perfectamente. Ahora me gustaria leer algo de como hacer un .dll para ese efecto.
Me recomiendas algun manual en k estea explicado eso?

Salu2

EDIT: ::Tema solucionado::

[Solo usuarios registrados pueden ver los links. ]

Gracias MazarD y Hendrix