Mensajes

Muy bueno el tutorial y me parece bien que uses el OllyDbg, ya que para aquellas personas que dicen que hubieses usado el Cheat Engine para encontrar el address, esto es más seguro y una manera de aprender mejor como tu dices. Porque esto también puede ser utilizado para juegos online con protección " AntiDebugger " , ya que al momento de localizar el address con el Cheat Engine se te cierra el juego por protección, en cambio con el OllyDbg puedes conseguirlo. Muy bueno amigo, gracias por tan excelente tutorial.  

En las últimas versiones de CheatEngine puedes activar una protección anti-antidebug (que funciona muy bien la verdad) o simplemente cambiar el debugger default de CheatEngine por su versión VEH (indetectable en el 90% de los juegos online).

Si incluso tuvieras que lidiar con algún juego "especial", puedes cargar el driver que viene con CheatEngine DBVM para lanzar un debugger en ring0 (kernel-mode debugger).

Saludos

Quieres decir que funciona con POkerstars?? no lo creo hay mucha seguridad
Buen tutorial!!! a ver si me animo

No lo he probado con Pokerstar, pero creo que el trafico está cifrado.

hola amigo estoy en el tercer tutorial no entiendo bien en la parte que agregas el add ax.A  de que parte viene el ax.A

A ver como lo explico.... El ejemplo de la parte 3 enseña como modificar un programa, concretamente lo que estamos haciendo es inyectar una instrucción ASM dentro de la memoria del ejecutable:

La dirección del dinero es ESI+34
Cuando "gastamos" dinero, la función 402C19 modifica ESI+34 con un MOV (almacena un valor), en el ejemplo hace:

mov [esi+34],ax

Es decir, coge el valor de ax y lo copia a nuestro dinero. En cada interacción, ax disminuye (seguro que si miras un poco arriba verás un sub). Para conseguir que el programa SUME en lugar de RESTAR hay que inyectar un código, por ejemplo add ax,A (lo que hacemos es sumar 10 monedas al registro ax, luego se ejecuta el mov).

Se entiende? No se como explicarlo de otra forma, jejeje. El add ax,A es solo un ejemplo, podría poner cualquier otro código ASM, por ejemplo cambiar el mov [esi+34]ax por un mov [esi+34],A

Puedes postear el binario? Me gustaría verlo

VBS y VB6. De vez en cuando LUA+ASM cuando estoy con el reversing.

Querria hacer un virus

Entra en la siguiente web:

http://vxheaven.org/src.php

Abajo verás un buscador, pon los siguientes datos:



Ahí tendrás 5 ejemplos en C/C++ de virus para Windows. Te bajas el source y lo compilas o lo modificas (tu mismo). Ahora que ya tienes toda la información y que además ya sabes programar en C++ te cierro éste hilo y el anterior.

Como vuelves a abrir otro hilo preguntando lo mismo se tomarán otras medidas.

Adios

Ya abriste un tema pidiendo lo mismo.

Dices que sabes programar en C++? Perfecto

Que tipo de malware quieres programar? Un virus? Troyano? Keylogger? Downloader? Crypter? Stealer? Joiner/Binder? Worm? Scammer?

[VBS]

Muy buenas a todos

Como está de moda programar en VBS, os dejo el siguiente aporte. Se trata de un pequeño script que permite añadir una ventana de "debug" para que podamos depurar y programar mejor cualquier script en VBS.

La idea la he sacado de stackoverflow, básicamente se trata de una pequeña función que crea una instancia de Internet Explorer en la que se irá añadiendo cualquier evento que nosotros queramos, con su TimeStamp. Para ello haremos lo siguiente:

Creamos un nuevo fichero que llamaremos debug.vbs con el siguiente código:

Código (vb) [Seleccionar] Expandir

Dim oMIE

Function Debug(T)
If Not IsObject( oMIE ) Then
Set oMIE = CreateObject("InternetExplorer.Application")
oMIE.Navigate "about:blank"
oMIE.Visible = True
oMIE.ToolBar = False
oMIE.Width   = 1300
oMIE.Height  = 250
oMIE.Left    = 0
oMIE.Top     = Eval(750 - 250)
Do While oMIE.Busy
WScript.Sleep 100
Loop
oMIE.Document.Title = "VBS Debug Window"
oMIE.Document.Body.InnerHTML = "<b>" & WScript.ScriptName & "</b></br></br>"
End If
oMIE.Document.Body.InnerHTML = oMIE.Document.Body.InnerHTML & "<code>" & Now & " >> " & T & "</code><br>" & vbCrLf
End Function

Éste fichero debug.vbs te servirá para cualquier futuro script VBS que quieras "debuggear". Luego, en cualquier proyecto VBS, solo tendremos que añadir las siguientes líneas al inicio del código:

Código (vb) [Seleccionar] Expandir

Sub LoadDebug
    Set FSO = CreateObject("Scripting.FileSystemObject")
   Set objFile = FSO.OpenTextFile("debug.vbs")
strCode = objFile.ReadAll
   objFile.Close
   ExecuteGlobal strCode
Set objFile = Nothing
Set FSO = Nothing
End Sub

Call LoadDebug

Para llamar a la función Debug, añadiremos la siguiente línea:

Código (vb) [Seleccionar] Expandir

Debug "ejemplo"

Así de sencillo, os dejo un ejemplo de código y se resultado con la ventana de Debug:

Código (vb) [Seleccionar] Expandir

A = 100
B = 5

C = A * B

Debug "C = " & C

Debug "My path is " & WScript.ScriptFullName
Debug "Wait 2 seconds"
WScript.Sleep 2000

V = "This is a example of string"

V = Replace(V,"i","X")

Debug "My replaced string: " & V

'.......



Debug "end >> WScript.Quit;"
WScript.Quit



Saludos!!

PD: Hay programas y editores VBS que añaden debugger reales (por ejemplo VbsEdit http://www.vbsedit.com/) pero aquí les traigo algo hand-made, gratis y divertido.

[eso no se ejecuta solo]

Pero como puedes expandir esto?, :s

si es que unicamente se baja el fichero exe o vbs, eso no se ejecuta solo

Claro, por eso se llama "spread" y no "exploit".

genial! una pregunta como queda guardado en el zip? , un nombre en especifico por ejemplo ?

Queda guardado en la carpeta raíz del ZIP, con el nombre del fichero original. Por ejemplo:

Fichero: gusano.vbs

En los ficheros ZIP que infecte, se copiará con el nombre gusano.vbs
Se podría modificar el script para que cambie o genere un nombre aleatório.

Saludos