Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Mad Antrax

#681
Programación Visual Basic / Re: Melt
1 Febrero 2008, 14:35 PM
Ese método del cmd es un royo. Si finalizo el proceso con Ctrl+Alt+Supr i si el proceso se finaliza por un error de programaci´no, el Form_Terminate() no se ejecuta nunca.
#682
Programación Visual Basic / Re: Melt
1 Febrero 2008, 00:09 AM
Vale, entonces tú no quieres hacer Melt... definamos antes algunos conceptos:

Melt

P1 = Programa Principal
P2 = Dummy Deleter

1) Ejecutamos P1
2) P1 crea el proceso P2 en %temp% (por ejemplo)
3) P1 ejecuta P2 y le pasa su ruta (P1 le da la ruta de P1 a P2)
4) P1 finaliza su ejecución
5) P2 entra en bucle, si encuentra el fichero P1 lo elimina
6) P2 continua en bucle hasta que no exista P1 (hasta que lo haya eliminado)
7) P2 sale del bucle (P1 está eliminado ya) y continua ejecutando el código
8) Fin

Efecto: El usuario ejecuta P1, y justo en ese instante el fichero de P1 es eliminado pero se sigue ejecutando (en realidad se ejecuta P2 que es una copia de P1 en otra ubicación)

Lo que tu quieres hacer

1) Ejecutamos P1
2) Trabajamos con P1 un buen rato
3) Al cerrar P1, que se autoelimine sin usar Dummies.

Ummm, lo que planteas no parece tener fácil solución. Yo al menos no lo sé resolver sin usar Dummies temporales. Podrías hacer esto...

1) Ejecutamos P1
2) P1 crea el proceso P2 en %temp% (por ejemplo)
3) P1 ejecuta P2 y le pasa su ruta (P1 le da la ruta de P1 a P2)
4) P1 finaliza su ejecución
5) P2 hace CreateProcess(P1) y obtiene su handle hProcess
6) El usuario trabaja con P1, P2 no se muestra en ningún momento.
7) P2 está esperando en WaitForSingleObject(P1) - Es decir, espera a que finalicemos P1
8) P1 es finalizado por el usuario
9) P2 se entera y manda un DeleteFile(P1)
10) P1 es eliminado porque ya no se ejecuta

Efecto: El usuario P1 es ejecutado por el usuario, P1 permanece físicamente en la misma ruta, y al finalizar su ejecución, éste (P1) es eliminado automáticamente (en realidad lo elimina P2).

Con este método sólo quedaría P2 en el disco del usuario sin ejecutarse ni nada. Es lo único que se me ocurre, y estoy hablando desde la teoría, tendría que probarlo antes...

Saludos!!
#683
Cita de: brache en 31 Enero 2008, 02:35 AM
1) VB es bueno para hacer Botnet's?
Para este tipo de cosas lo mejor sería C/C++ o AMS, para poder optimizar mucho el código, reducirlo y hacer que el ataque sea muy eficiente, aunque en VB se pueden hacer también.

Citar2) Como atacan los botnets al puerto 80
Hay varios métodos de ataque, ICMp Storming, UDP Flood, SYN/ACK Flood, Fraggle Attack, etc... ver más en Wikipedia

Citar3) Como seria el code o algo pequeño de el ataque al puerto
Por razones de ético y logica no te pienso poner ningún ejemplo, lo siento

Citar4) Hay manuales en este foro que me enseñe a hacer uno de esos, ya que busque y no encontre...
Si no encontrastes es porque la programación de estos 'bichos' está prohibida en este foro, lo siento.

CitarBueno si lo del ataque a los puertos es como el de bloke999... a ver si alguien me ayuda?? :)
bloke999 es un ejemplo de DoS con un programa hecho en VB6, no es muy eficiente y tiene errores de código, los hay de mejores.

Saludos!!
#685
Cita de: Lewert en 26 Enero 2008, 02:16 AM
Y usando tu Cactus Metamorph no se haria indetectable?

No lo creo, Cactus Metamorph dejaría la llamada a la API intacta (si se modifica ya no funcionaría) y con el Hook del KAV lo seguiría detectando.

Cita de: chubichequer en 26 Enero 2008, 02:51 AM
||MadAntrax||  no tienes algun codigo de prueba para verlo y hacerme una idea

El Cactus Keylogger PV (Private Version) usa Hook's a nivel de teclado, no utiliza la API GetAsyncKeyState y es indetectable a TODOS los AV's y su herística, de momento no lo publico porque necesito que continúe indetectable por un tiempo (lo estoy usando para unas cosas mias). Luego ya publicaré el ejecutable y por supuesto su source.

Tendrás que esperar.
#686
Olvida el uso de GetAsyncKeyState, esa API es detectada por muchos AV's, además funciona MUY mal, necesitas Timers, consume mucho tiempo de CPU, etc...

Te recomiendo que empieces a Hookear a nivel de teclado (en VB6 sí se puede, quien diga lo contrario miente) y olvidate de esa API. Con los hooks no tendrás que usar timers :)

Saludos!
#687
Yo opino más o menos igual, prefiero que se publiquen advisores o PoC's antes que un exploit compilado. De la misma forma prefiero el source/modulos o las funciones de un troyano/joiner/crypter/etc antes de un proyecto compilado donde no puedes aprender ni entender como funciona.

Creo que es interesante dar a conocer funciones tales como infección de un USB, infeción de archivos Zip/Rar, funciones típicas de los worm's (MSN Spread, LanSpread, etc).

Pero bueno, bastante gente me ha pedido que no tire para adelante el proyecto, me lo han dicho en el otro hilo y por privado.

Poneros de acuerdo, yo igualmente voy a programar el módulo. Si queréis lo publico o si queréis no, me da igual

Saludos
#688
Ok, no se hable más. Cancelado este proyecto. Que cada uno se programe lo que sepa.
#689
Cita de: E0N en 22 Enero 2008, 19:17 PM
Yo esto lo veo mas util para copiar solo las funciones q te hagan falta y no todo el modulo, q si no va a ser mas facil q detecten tu aplicacion y va a subir mucho el peso.. pero la iniciativa es wena ;)

Claro, yo crearé el módulo y cada uno que coja las funciones que necesite
#690
Cita de: jackl007 en 22 Enero 2008, 01:07 AM
Las funciones de este modo seran detectadas por muchos antivirus ...
Las funciones las estoy programando a mano, así que cuando salga el módulo serán todas indetectables.

Cuando compiles tu proyecto, podrá shacerlo en código nativo o P-Code (consigues 2 proyectos identicos con estructura interna modificada, evitas los AV y su heuristica)

Citary hay que estar constantemnte modificando el codigo o buscando otra manera de hacer lo mismo para evitar eso ...
Cuando tengas el proyecto compilado, lo empaquetas con UPX, FSG o lo que quieras, además siempre podrás cambiar las variables (de Integer a Long por ejemplo), con esto modificas las zonas de la pila (ya que Long requiere más zona de memoria que un Integer) y evitas las firmas de los AntiVirus. O puedes cambiar las Strings de las funciones

Yo creo que puede ser un proyecto bonito