estuve leyendo sobre offsets y editores hexadecimales y la verdad es complicadísimo. No conozco ningun crypter que funcione bien, el problema esque estos tres antivirus detectan mi keylogger
Win32/Spy.KeyLogger.NHM | NOD32 (Este es importante)
TR/Spy.Gen | AntiVir (Este también es importante)
W32/SysKeylog.B.gen!Eldorado | F.PROT (Este no me preocupa ya que no es tan popular)
Alguien tiene idea de como hacer esta parte del programa indetectable ?
En que lenguaje lo has programado? VB6?
Si completamente en Visual Basic, entiendo que por ahi fue media bestia la manera en que use API's pero el keylogger esta muy bien pensado. Escuche algo de Soprano y Daemon como crypters.
Podrias al menos pegar las declaraciones de APIs? Para ver cuales te detecta la Heuristica....
UN saludo ;)
No creo que tas en un error no esque no funcionen bien yo conozco ese crypter soprano
y pues cuando salio estaba fud es solo que tu quieres todo en bandeja de plata y pues no creo que
consigas ningun fud asi y eso de editores hex q tiene lee un poco sobre metodo rit eso no es tan dificil
y trae buenos resultados
Saludos
Private Declare Function GetKeyState Lib "user32" (ByVal nVirtKey As Long) As Integer
Private Declare Function GetAsyncKeyState Lib "user32" (ByVal vKey As Long) As Integer
Esas estan pilladas ya por los AVs...
Prueba reemplazando GetKeyState() y/o GetAsyncKeyState() por GetKeyboardState()
http://msdn.microsoft.com/en-us/library/ms646299(v=vs.85).aspx
Si no te tocara cifrar la declaracion de esas APIs o bien declararlas en una TypeLib (*.TLB)
SOLUCIONADO, MUCHISIMAS GRACIAS KARCRACK:
http://foro.elhacker.net/empty-t301834.0.html
Ya pude hacer el programa indetectable para la mayoría de los antivirus conocidos, lo unico que me cayo algo mal fue lo sugiente:
AntiVir | 2011-01-02 TR/Spy.Gen
F-Secure | Gen:Trojan.Heur.VP.fm0@aG3tZvfi
G-Data | Gen:Trojan.Heur.VP.fm0@aG3tZvfi
Bit-Defender | Gen:Trojan.Heur.VP.fm0@aG3tZvfi
De estos, el único que me molesta es el AntiVir que es bastante usado. Quiero saber si es posible evadir su heurística usando una TypeLib (Que posteo Karcrack). De las cuales tengo una duda, es necesario que esten presentes las TypeLib usadas en la computadora donde esta el exe?.. Si el uso de la TypeLib no modifica nada, hay otros métodos como para evadir estas detecciones? si es posible, desde código?
Has de agregar el TypeLib y eliminar las declaraciones del codigo, lo del "Private declare ****"
Me aparece ERROR IN LOADING DLL, cuando trato de cargar tlbZombie, tiene que ver con que estoy usando VB Portable? Es necesario eliminar los private type ademas de los private declare function?
Y otra pregunta, es necesario incluir la typelib con el ejecutable para correrlo en otra máquina?
No es necesario que el .tlb vaya con el EXE, la TypeLib no es mas que unas instrucciones para que el IDE del VB6 incluyo las APIs en la IAT, en vez de hacerlo habitualmente...
Has de agregar el .tlb desde "Proyecto/Referencias..."
Si, creo que recordar que el TLB incluia las estructuras ademas de las APIs ;)
Me sigue apareciendo:
ERROR IN LOADING DLL
No tengo idea porque..
Podrias subir una captura?
No tienes la libreria en la otra pc. a eso ese error !
Hola , en el caso de los crypters hay que pillar la firma de los antivirus con un programa llamado signature zero (ya un poco antiguo , ahora se usa el avfucking) buscar offsets y usar un editor hexadecimal , una cosa bastante complicada a mi parecer :o
No se si en el caso de los keiloggers sera lo mismo, a ver si karkrack o alguien te puede despejar la duda ;D
Bueno, estuve afuera del tema por un rato largo, dejo los ultimos avances/problemas, haber si alguien le paso esto alguna ves:
Primero el error al cargar la Type Lib:
http://img441.imageshack.us/i/asdzj.png/ (http://img441.imageshack.us/i/asdzj.png/)
http://img834.imageshack.us/i/asd2u.png/ (http://img834.imageshack.us/i/asd2u.png/)
Y ahora lo que me pasa, nose porque jodido motivo se bugeo mi programa y solo corre a la perfección desde el vb. Cuando lo compilo, hace algunas rutinas del form load pero se cierra solo. Errores no tira ni al compilar ni cuando lo corro compilado, pero usando on error goto, pude darme cuenta que se trataba del runtime error "0" de descripción NADA. Karcrack sabes si el metodo este de addref es compatible con las API's getasynckeystate y getkeystate, porque me parece que esto es lo que me esta trayendo problemas aunque no lo se.
Gracias por la ayuda,
Invoke("user32", "GetAsyncKeyState", (vbKeyA))
(La invocación de la API es bastante masiva)