Detectando un ejecutable encriptado que supuestamente pasa por alto el antivirus [cerrado]

1

He visto muchos Crypters que se anuncian para evitar el antivirus y funcionan.

El malware cifrado por Crypter evade la detección de antivirus.

¿Cómo podría usted programar o utilizar una herramienta de manera confiable un ejecutable cifrado?

Estoy pensando en el comando strings y otras herramientas similares.

    
pregunta 09.06.2016 - 14:09
fuente

2 respuestas

1

Con el cifrado adecuado, podría ser imposible saber que un archivo cifrado era originalmente un archivo ejecutable. Por supuesto, si se redistribuye exactamente en el mismo estado binario, los fabricantes de antivirus podrían identificar una firma para reconocerla.

Un sistema de distribución de este tipo requeriría que un proceso ya estuviera presente en la computadora cliente para descifrar y ejecutar el virus. Si ese fuera el caso, sería factible engañar al cifrado para usar una clave variable de una manera que el proceso del cliente sepa cómo manejar, haciendo casi imposible su detección.

De nuevo, el proceso que manejaría esta tarea sería la fuente real del problema y podría ser identificado por el antivirus.

    
respondido por el Julie Pelletier 09.06.2016 - 14:35
fuente
0

Hay una herramienta para detectar .exes empaquetados llamados PEiD .

En cuanto a lo que es bueno saber, revise esta lectura sobre cómo detectar .exes empaquetados basados en datos binarios sin procesar.

Existen otras herramientas como RDG Packer Detector, pero la mayoría de ellas detectan empacadores específicos basados en la comprobación de firmas, por lo que prácticamente de la misma manera que lo hace un antivirus.

    
respondido por el Overmind 09.06.2016 - 14:17
fuente

Lea otras preguntas en las etiquetas