Avira 1 - Yo 0

Iniciado por lucasluks1004, 31 Agosto 2011, 21:02 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2 3
Acciones del Usuario

lucasluks1004

#20
19 Septiembre 2011, 05:20 AM Ultima modificación: 20 Septiembre 2011, 19:26 PM por lucasluks1004
Siento si te estoy volviendo loco con la preguntas pero no te comprendi bien q pongo
Código [Seleccionar]
Private Declare Sub CopyBytes Lib "MSVBVM60" Alias "__vbaCopyBytes" (ByVal Sz As Long, Dest As Any, Source As Any)

en un .tlb hasta ahi no hay problema pero ahora q hago tengo por ejemplo esto :

Código [Seleccionar]
 
Call CopyMemory(tIMAGE_DOS_HEADER, bvBuff(0), SIZE_DOS_HEADER)

Call CopyMemory(tIMAGE_NT_HEADERS, bvBuff(tIMAGE_DOS_HEADER.e_lfanew), SIZE_NT_HEADERS)

CopyMemory tIMAGE_SECTION_HEADER, bvBuff(tIMAGE_DOS_HEADER.e_lfanew + SIZE_NT_HEADERS + SIZE_IMAGE_SECTION_HEADER * i), Len(tIMAGE_SECTION_HEADER)




Lo q hago es transformar esos codigos para usarlos con CopyBytes ,pero al ejecutarlo no hace nda pero tmp me tira ningun error

uso por ejemplo:

Código [Seleccionar]
CopyBytes Len(tIMAGE_SECTION_HEADER), tIMAGE_SECTION_HEADER, bvBuff(tIMAGE_DOS_HEADER.e_lfanew + SIZE_NT_HEADERS + SIZE_IMAGE_SECTION_HEADER * i)


EDITO: si pongo como api en el source:
Código [Seleccionar]
Private Declare Sub CopyBytes Lib "MSVBVM60.DLL" Alias "__vbaCopyBytes" (ByVal Size As Long, Dest As Any, Source As Any)

funciona perfecto,,pero si lo uso con .tlb hace q carga algo pero al final no hace nda ,,alguien sabe por q?

Karcrack

#21
23 Septiembre 2011, 01:13 AM
Revisa la declaración que tienes en el TLB... Es cosa de los punteros... ByRef/ByVal.. esas cosas... revisa el TLB

(PGP ID)

lucasluks1004

#22
23 Septiembre 2011, 03:29 AM
Gracias Karcrack  ,,realmente no se en q me equivoco hice varios .tlb varie el orden en el copybytes y demas y nda siempre me carga pero no sale nda al final si puedes ver mi .tlb te lo agredecia mucho:

http://www.multiupload.com/UQ5IKACWP2

Desde ya gracias !!

Karcrack

#23
23 Septiembre 2011, 12:20 PM
Con ese TLB debería irte perfectamente :-\

(PGP ID)

lucasluks1004

#24
24 Septiembre 2011, 02:55 AM
Gracias Karcrack ,,seguire probando entonces me es raro ya q si la declaro en el codigo si anda cuando la borro y cargo el .tlb al ejecutarlo se queda como cargando pero al final no hace nda ,,pero buen seguire probando ..

Realemnte te estoy volviendo loco con preguntas pero tengo una mas jaja ,,al cargar tu modulo en mi stub me queda en el codigo final una importacion de la libreria MSVBVM60.DLL la cual es :"Zombie_AddRef" ,ahora mi pregunta es como puedo cambiar el nombre desde el codigo ya q no puedo sacar esa firma con ningun metodo probe moviendo de lugar la importacion y nda me sigue detectando el avast ahora el lugar nuevo en donde la movi ,,tmb probe hacer con el olly un mov byte ptr para limpiar lo cual me lo deja indetectado pero tmb no me lo deja funcional
Imprimir
Ir Arriba Páginas 1 2 3
Acciones del Usuario