• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Как безопасно запускать опасное ПО на реальной системе


art

Уважаемый пользователь
Форумчанин
Регистрация
02.02.2014
Сообщения
129
Репутация
111
А ещё для подобных целей есть Shadow Defender, пробовал, действительно поставленной под защиту системе пофиг, можно удалять важные системные папки, переименовывать и т.д., после перезарузки система сноава таже, как до включения защиты. Пишут что под ней и вирусы можно не боясь запускать, но как то не хочется пробовать.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
Пишут что под ней и вирусы можно не боясь запускать, но как то не хочется пробовать.
Блин а я уже неделю как запускаю вирусы, как-бы мой комп в бот сети уже не оказался !Dmeh-Smeh-Smeh!!!

Ща подумываю установить вторую ОС, 8-ку, но нужно как-то отделить её от других дисков, т.е. что-бы она могла работать только с определённым разделом, а другие не видела...

А вообще я собираюсь установить 4-ре системы себе:Debian, Windows8, FreeBSD, ну и семёрка стоит уже как основная, как это сделать пока думаю !Не въехал!!!

На виртуалбоксе к сожалению многие вирусы не запускаются, т.к. разрабы вирусни специально так делают, встраивают в вирус антиотладку и антивиртуалку, короче печалька, нужно запускать на основной системе !NO-no!!!
 

art

Уважаемый пользователь
Форумчанин
Регистрация
02.02.2014
Сообщения
129
Репутация
111
У меня винда и убунту вместе живут, нормально, а вот мысль поставить дебиан посещает, да руки не доходят
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
На виртуалбоксе к сожалению многие вирусы не запускаются, т.к. разрабы вирусни специально так делают, встраивают в вирус антиотладку и антивиртуалку, короче печалька, нужно запускать на основной системе !
Тут попалась на глаза статья-мануал Fudmario о том,как преобразовать свою виртуалку под работу с мальварью.Запощу оригинал,так как сложного там ничего нет,только переименовывание некоторых файлов и работа с редактором реестра.

Anti-Anti Virtuales by fudmario
Uno de los problemas que existen al momento de Realizar Análisis de Malware, es cuando nos encontramos con diversas técnicas que utilizadas para evitar ser analizados, entre ellas:

  • Verificar si estan cargadas ciertas DLLs (Ej: SandBoxie => SbieDll.dll).
  • Verificar la Existencia de algunos ficheros(Ej: Driver-VirtualBox => VBoxMouse.sys).
  • Verificar si algunos procesos estan en ejecución(Ej: VBoxService.exe, VMWareUser.exe, Wireshark.exe, etc.).
  • Verificar el identificador del Disco Principal.
  • Deteccion de Breakpoints, Presencia de Anti-Debuggers, etc...

En SI, un sin fin de formas que utilizan los malware's para evitar ser analizados.
En esta primera parte vamos a ver como modificar nuestro entorno Virtual, esto para eludir la técnicas que generalmente tienen ciertos Malware's para evitar ser ejecutados en entornos Controlados(suena repetitivo xD).
Vamos a modificar nuestra Maquina Virtual de "Virtual Box", al igual que se puede dejar indectectables los Malware's, tambien volveremos indetectable a nuestra Maquina Virtual por así decirlo.
Comencemos:
Parte 1:

En esta parte renombraremos ficheros, valores en registro, teniendo en cuenta que cada modificación debe realizarse verificando que no dañe nuestra VM.
Técnica #1 "VirtualBox Shared Folders Minirdr NP"
Comprueba si esta cargada esta DLL: "VBoxMRXNP.dll"
Lo que haremos será renombrarla: añadirle un caracter al el nombre o randomizar el nombre, creo que si randomizamos será muy dificil que sea detectado.
A por ello:
Cambiaremos el nombre del Fichero:
'Ruta del Fichero:
Код:
%WinDir%\system32\VBoxMRXNP.dll
'Por:
Код:
%WinDir%\system32\POIUYT.dll 'Randomizar el Nombre del Fichero.
Y tambien lo modificaremos desde el Editor de Registro para que no cause ningun error.
Код:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxSF\NetworkProvider

7byvJQ3.png



OcKv9v8.png




Técnica #2 "VBoxMouse.sys"
De la misma forma anteriormente mostrada, renombraremos el nombre del fichero.
Код:
%WinDir%\system32\drivers\VBoxMouse.sys
%WinDir%\system32\drivers\FLGKHJ.sys
desde el Editor de Registro, tambien modificaremos, en las siguientes rutas:
Код:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxMouse
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxMouse
En ImagePath, cambiaremos:

Код:
System32\DRIVERS\VBoxMouse.sy
por:
Код:
System32\DRIVERS\FLGKHJ.sys

y54yeUL.png


s2rGAFF.png


Técnica #3 "vboxservice.exe"
Más de lo mismo a renombrarlo.
Код:
%WinDir%\system32\vboxservice.exe
por
Код:
%WinDir%\system32\RNDSRVC.exe
Y modificarlo tambien en el Editor de Registro.
Код:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\VBoxService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VBoxService
Vamos a modificar en ImagePath por el nuevo nombre del Fichero.

n5eEbrU.png


kCQ4pQs.png



Técnica #4 "VirtualBox Guest Additions"
Cambiaremos el Nombre de la siguente Clave:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions
HKEY_LOCAL_MACHINE\SOFTWARE\Oracle\RANDOMGUESTADDITIONS_fudmario
t8aLvzR.png


oqZUS88.png

Parte 2:
Esta parte es similar al anterior hasta cierto punto, en la anterior parte modificamos por así decirlo permanentemente, pero en esta parte no se puede ya que al reiniciar se restablecerá las modificaciones realizadas ya que si no se podria dañar nuestra VM.
Técnica #5 "HARDDISK"
Modificaremos en el Editor de Registro:
Код:
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0\Scsi Bus 0\Target Id 0\Logical Unit Id 0
en Identifier:
VBOX HARDDISK
por Cualquiera otra cosa.

G2vrZCl.png

Técnica #6 , Técnica #7 "SystemBiosVersion" | "VideoBiosVersion"
Код:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System
Modificaremos en informacion de Valor, de SystemBiosVersion y VideoBiosVersion por cualquier cosa.

TvZLTz3.png


Técnica #8 "Verificando el Tamaño del Disco"
En ocaciones tambien puede pasar que el Malware Revise si el tamaño de disco es menor a un valor dado, que generalmente son 20GB, 30GB ó 50GB esta técnica no se usa generalmente, pero hay les dejo el dato para que le puedan agregar en Expansion Dinamica a el Disco un Tamaño mayor a eso.
Test1:

ANTES:

aolzKwY.png


DESPUES:

rSEIXDs.png

Test2:

5Ps796n.gif

Hasta el momento solo se me ocurren esas, si alguien conoce otras técnica, comenten en el post para seguir añadiendo. Esto tambien Aplica a VMWare, Qemu, pero prefiero a VBOX ya que es gratuito.
Autor: fudmario
"Si deciden llevar esto a otros lados, se pide respetar la fuente y el autor de la Misma"
 
Автор темы Похожие темы Форум Ответы Дата
X-Shar Защита приватной информации 2
X-Shar Защита приватной информации 1
X-Shar Защита приватной информации 7
Dr00nGH Защита приватной информации 4
virt Защита приватной информации 0
virt Защита приватной информации 3
virt Защита приватной информации 0
Koza Nozdri Защита приватной информации 4
virt Защита приватной информации 0
Koza Nozdri Защита приватной информации 4
virt Защита приватной информации 2
virt Защита приватной информации 0
virt Защита приватной информации 0
X-Shar Защита приватной информации 1
virt Защита приватной информации 0
X-Shar Защита приватной информации 3
Ворошилов Защита приватной информации 1
Норинга Защита приватной информации 0
P Защита приватной информации 15
X-Shar Защита приватной информации 21
Похожие темы
Информация Амнезия или как ускорить youtube
Информация Как пробить пользователя Telegram
Вопрос Кто каким VPN пользуется ?
Программа Шифратор S.S.E под андройд. Или как я прячу голые фото.
На заметку Текстовые метки, или как поймать мудилу
На заметку Как удалить предустановленное шпионское/вредоносное ПО на Андроиде
На заметку Мобильная слежка, или как за тобой следят
Вопрос Какой козел в моем огороде? Или все сразу?
На заметку Как можно вычислить точный адрес пользователя зная его email
Информация Какую информацию будут получать правоохранительные органы о пользователях сети?
На заметку Китайский Интернет, или как выглядит интернет, развивающийся в отрыве от глобальной сети
Информация Как обойти блокировку Telegram
На заметку Как взломать при помощи электронной сигареты
Информация Как именно запрещают VPN и Tor в разных странах мира
Информация Борьба против Роскомнадзора или как заблокировать сайт конкурента на территории РФ
На заметку Как мы ловим кардеров
На заметку Какашечка в Visual Studio
На заметку Как антивирусы снижают безопасность интернет-браузера
Вопрос Как защитить личную информацию
Так-ли безопасно использовать VPN или как скрыть свой IP-адрес
Верх Низ