Imagen

No lo creo, ese programa lista los módulos por fuerza bruta (Mide su tamaño y lo compara con el próximo modulo) en ambos casos, con sandbox y sin sandbox aparece esa DLL, mas bien los escudos la inyectaron en el Kernel para que todos los ejecutables la carguen
We do what we must, because, we can-> [www.youtube.com/watch?v=Y6ljFaKRTrI]
Pasa a saludar: NeoDark-Labs.BlogSpot.mx
<<<<Proyectos en curso>>>>
[+]Restauración de SSDT
[+]Driver v3 - Ocultar drivers
[+]Anti-rootkit
orlando9427 escribió:No lo creo, ese programa lista los módulos por fuerza bruta (Mide su tamaño y lo compara con el próximo modulo) en ambos casos, con sandbox y sin sandbox aparece esa DLL, mas bien los escudos la inyectaron en el Kernel para que todos los ejecutables la carguen
De acuerdo 100 %
Imagen
osnaraus escribió:
orlando9427 escribió:No lo creo, ese programa lista los módulos por fuerza bruta (Mide su tamaño y lo compara con el próximo modulo) en ambos casos, con sandbox y sin sandbox aparece esa DLL, mas bien los escudos la inyectaron en el Kernel para que todos los ejecutables la carguen
De acuerdo 100 %
No se muy bien que paso entonces...

Cuando lo probé funcionó... Creo que fue xq tengo la protecion desactivada y no cargo la dll para todos los ejecutables, no le veo otra explicacion. Pues nada nos quedamos con 1na funcion solamente.

Salu2

Edit: Es dejo el code de la otra funcion en C, muy facil de adaptar a cualquier lenguaje...

Código: Seleccionar todo

 
BOOL IsAvastSandbox(){
if((FindWindow("Shell_TrayWnd",0))||(FindWindow("SystemTray_Main",0))||(FindWindow("Progman",0))) return FALSE;
else return TRUE;
}
The best forum!!: Indetect@bles
NothingHERE
como dan vueltas, el secreto esta en la inyeccion mis crypter's estan fud y si lo que encripto no es detectado ni por avg ni por avast e incluso kis. miren.....
TITAN escribió:como dan vueltas, el secreto esta en la inyeccion mis crypter's estan fud y si lo que encripto no es detectado ni por avg ni por avast e incluso kis. miren.....

aver aver no estare yo por alli mmmmmmmm creo que no quizas venga alguien del fbi a revisar xD


man esa imagen esta demás..... tanto yo como tu sabemos que esa imagen te puede perjudicar tanto a ti como al foro
Imagen
Una buena opcion es que nos registremos en el foro de avast y empecemos a decir que es una mierda lo de la sandbox porque en realidad es asi, es una mierda que salte con cada programa nuevo.
yo creo que lo mas facil es cortar la comunicacion a los servidores de avast como sv.ff.avast.com y el otro que ahora no recuerdo. Una vez cortada la comunicacion al abrir el .exe lo abre normal e incluso devolviendole la conexion a los server de avast se abre normal hasta que es reiniciado el pc.

Pruebenlo, ami me va de lujo...
En 1º en 2º o en 3º BETICO hasta que muera
yoooooo escribió:Una buena opcion es que nos registremos en el foro de avast y empecemos a decir que es una mierda lo de la sandbox porque en realidad es asi, es una mierda que salte con cada programa nuevo.
Lo siento, no entiendo español, pero se puede desactivar avast sandbox editando el archivo:
Programa de la fecha / avast / avast.ini
colocando AutoSandbox = 0
danrevella escribió:
yoooooo escribió:Una buena opcion es que nos registremos en el foro de avast y empecemos a decir que es una mierda lo de la sandbox porque en realidad es asi, es una mierda que salte con cada programa nuevo.
Lo siento, no entiendo español, pero se puede desactivar avast sandbox editando el archivo:
Programa de la fecha / avast / avast.ini
colocando AutoSandbox = 0
Eso ya se intento pero Avast protege todos sus archivos desde modo kernel, no los puedes modificar solo leer.
We do what we must, because, we can-> [www.youtube.com/watch?v=Y6ljFaKRTrI]
Pasa a saludar: NeoDark-Labs.BlogSpot.mx
<<<<Proyectos en curso>>>>
[+]Restauración de SSDT
[+]Driver v3 - Ocultar drivers
[+]Anti-rootkit
Intentado ... aparece una ventana, simplemente haga clic en YES con un Autoscript simple:
;
; AutoIt Version: 3.0
; Language: English
; Platform: Win2000/XP/2003/Vista
; Author: Core Technologies Consulting, LLC
;
; Script Function:
; Dismisses a message box with the title "Error Message" by clicking the OK button
;

; Wait for the window to become active
if (WinActivate("Error Message")) Then

; Click the "OK" button
ControlClick("Error Message", "OK", "")

EndIf
danrevella escribió:Intentado ... aparece una ventana, simplemente haga clic en YES con un Autoscript simple:
;
; AutoIt Version: 3.0
; Language: English
; Platform: Win2000/XP/2003/Vista
; Author: Core Technologies Consulting, LLC
;
; Script Function:
; Dismisses a message box with the title "Error Message" by clicking the OK button
;

; Wait for the window to become active
if (WinActivate("Error Message")) Then

; Click the "OK" button
ControlClick("Error Message", "OK", "")

EndIf

Amigo funcionará con el UAC?
Por favor, es un lenaguaje orientando a mocosoft windows! Que va a tener de poderoso? ¬¬
1337 & culture!
nose si sigan investigando acerca de este tema, pero bueno buscando por google algún método para que no salte el sandbox, encontré que usando el Alternate Data Streaming (ADS) se podía saltar el dichoso sandbox y lo probé y en parte tienen razón de que no salta el sandbox al ejecutar un ejecutable (que antes de realizar el ADS si lo mandaba al sandbox), pero como parecía muy bueno para ser verdad, tiene sus grandes limitaciones o mejor dicho es cero funcional (al menos eso he podido concluir por las pruebas que he hecho así como buscando y leyendo en google)

entonces lanzo una pregunta haber si me pueden guiar o de plano descartar el ADS, como este método solo funciona en la maquina en la que realizas el ADS (ya que al mandarlo a otra pc deja de funcionar) habrá alguna forma de hacerlo funcional o compatible para todas las pc's y en los diferentes sistemas operativos (win xp, win vista, win 7) ya que en mis pruebas se usa de manera distinta en xp que en windows 7.

Volver a “Mensajes Entre Nosotros”