a ver gente una consulta, dado que es tan dificil pasar la memoria activa del nod32, una vez q lo logras, la actualizacion de firmas del fucking nod te lo vuela en 24 hs y estoy siendo literal , no dura mas q eso, entonces mi consulta es, abria alguna menera de evitar dicha actulizacion de la base de datos? todavia funciona eso de hace tiempo de modificar el host? bueno cualquier sugerencia es bienvenida, salu2.
No se si el archivo hosts funcione, pero nod32 tiene como 3000 servers de actualización, ademas seguro que detecta las modificaciones en el archivo hosts

Habia un tema, donde hicieron una recopilación de servers de actualización de antivirus, pero es como del 2008 así que no se que tan actualizado estará.

Puedes hacer un AV-killer para nod, Image File Execution Options, un rootkit, una escopeta, etc, hay muchas formas diferentes de matar un av.

La siguiente forma es muy notoria, pero funciona para matar avs!
Puedes forzar el inicio en modo seguro (puedes abrir msconfig y usar sendkeys, o agregar /SAFEBOOT a BOOT.INI si el pc es win xp), luego reinicias, el ordenador inicia en modo seguro (tu obviamente consigues que tu exe se inicie en modo seguro), y el exe borra las claves del registro, archivos, drivers, servicios, etc de nod (el cual no inicia por el modo seguro), luego reinicias el modo normal, y adiós nod32.
Como ya dije, esta ultima forma es una verdadera locura y es imposible que alguien no se de cuenta, pero funciona bien y cumple su objetivo (matar el av) No especificaste que sean formas discretas

Incluso si decides hacer un rootkit, puedes suspender los 2 procesos llamados egui.exe y ekrn.exe (así el av esta instalado y activo, pero no puede hacer nada), o puedes cancelar las conexiones que tenga establecidas (para evitar que se actualice)

Saludos
Bueno, yo no creo que el análisis de memoria de eset dependa de las firmas o base de datos, por lo tanto que se actualize o no lo haga no cambiaría nada. Aunque hablo sin probar
Bueno, yo no creo que el análisis de memoria de eset dependa de las firmas o base de datos, por lo tanto que se actualize o no lo haga no cambiaría nada. Aunque hablo sin probar
No creo que se refiera a eso...

Te explico:

Haces un crypter con bypass a la proactiva (la proactiva de eset no lo detecta) > De alguna forma los avs obtienen una muestra del stub (Virustotal... ) > nod32 se actualiza, y ahora sabe como evitar el bypass > el bypass se jode y ya no funciona.

Resumiendo: evitando la actualización, el bypass sigue funcionado...

Saludos
Es para mantener los remotos mas tiempo, la idea que propones es una locura pero bueno, respecto al metodo de Image File Execution Options, cuando lo conocí era brutal, pero ahora Avast monitoriza el registro, no se si funciona con NOD32.

PD: Esto es un intento de Matar a Nod, necesita permiso de Admin y reinicio, testea y me cuentas.

Mostrar/Ocultar

//Regards.
Ikarus: Backdoor.VBS.SafeLoader
Agnitum: Trojan.VBS.Safebot.A
http://indeseables.github.io/
Responder

Volver a “Dudas y Preguntas”