Mensajes

Y se usan como un pincel convencional?

Se meten en "acciones" le das a play y te va guiando

Nunca habia probado scripts de estos, están curradisimos. Gracias.

Debes tener en cuenta que puedes hacer un send del tamaño que te dé la gana pero en la otra parte los datos completos enviados lo vas a recibir en varios eventos data_arryval (o como se escriba) distintos.
Imagino que lo que haces es un
tal.getdata buff
tal2.senddata buff
Entonces en getdata solo has recibido una parte y por lo tanto solo envias una parte del paquete.

No recuerdo muy bien los eventos de winsock en vb pero sin usar ninguno de ellos lo que puedes hacer es en cada send enviar el tamaño total de los datos que se pretenden enviar y en el getdata ir acumulando todo en un buffer hasta llegar a este tamaño antes de hacer el send a la parte final.

Espero haberte entendido y aclarado algo.

Saludos.

Inyectando con createremotethread es tan típico que lo detectan casi todos los firewalls y antivirus, pero de todos modos felicidades por el código está completo ahí mostrando su lista de procesos, el menú bonito y tal.

Saludos.

Enax,

Nunca lo he intentado, pero creo que el api hooking en vb es complicarse muchisimo la vida, terminas antes aprendido c. Lo de los punteros a tipos mas o menos se puede solucionar bastante bien, pero el problema mas grabe que yo le veo es que no tienes punteros a funciones por lo que el paso de meter código en un buffer y ejecutarlo es sino imposible muy rebuscado. Y esto a simple vista, después seguro que saldrían mil problemas.

Además si pese a lo anterior lo consiguieras tampoco es tan bonito, lo que quiere es enviar texto sin que aparezca en la ventana, pero hookeando el send solo tienes control en el momento en el que se va a enviar texto, suponiendo que eso no sea un problema y que solo quiera espamear cuando ya se está hablando debería además mirar que el socket concreto sea realmente de una conversación y no de la conexión al notify server o como se llame, de lo contrario le desconectaría al instante.
Por último el texto no se envia tal cual hay que conocer el protocolo del messenger.

Mi opinión es que como dice Hendrix, vb no está hecho para el api hooking y si lo haces leerás tu programa y verás que poca cosa queda de vb en ese código, solo apis y mas apis.

Usar api hooking para esto es o bien inútil o bien programar algo mas potente que espamear sin que le vean. Yo creo que lo mejor sería que programara un bot de messenger y que lo hiciera sin utilizar el propio messenger o bien ir a lo cutre y esperar a que el pc lleve 5minutos sin actividad, enviar el texto y cerrar la ventana.

Si quieres mirartelo por ti mismo y currartelo mucho busca en rfc-es.org y encontrarás la especificación técnica completa del protocolo.
Y si quieres hacerlo rápido y fácil, abres el mirc y escribes /debug @debug luego conectas a un server y todo lo que te vaya apareciendo en esa ventana según lo que hagas es lo que debes imitar desde tu programa.

Además de tener el tema en 3 hilos distintos...

Mad con el bitblt no funciona cuando se trata de directx, trabaja demasiado rapido.

Opción fácil:
Deshabilita la aceleración de hardware para el display de directx y utiliza bitblt o el programa que ya tienes.

Opción dificil:
Captura directamente del buffer de la capa directx

Saludos.

Ummmm, yo he estado haciendo pruebas. He pillado mi cactus.dll 2.5 (que es detectado por casi todos los AV's) y he modificado el caracter 0x00 por un caracter aleatório: 0x34

Raro que funcione  si lo haces con algun programa que use por ejemplo strcpy() de c que busca el 0x00 para saber hasta donde copiar te petará.
Aunque esto no tiene mucho que ver con detectar las firmas yo diria

se pueden reconocer las instrucciones y no partirlas, es decir si detectas un mov como ultimo byte del archivo agregar los bytes necesarios para escribir toda la instruccion en un archivo y no partirla.

Las firmas no tienen porque caer en el inicio de una instrucción concreta, imaginemos que el mov equivale a 9876 pues puede que la firma esté a partir del 76 y por tanto es un mov pero no tienes forma de detectar que realmente lo es a no ser que busques la entrada de la función y interpretes todas las instrucciones que puedas encontrarte por el camino hasta la firma (muchisimo trabajo)

El problema: independientemente del offset hasta las instrucciones consideradas como maliciosas, ciertos AVs no miran el offset si no, si contiene una serie de instrucciones independientemente de la localización de estas.

Deacuerdo, pero un archivo concreto tendrá esa serie de instrucciones en uno o varios offsets concretos. Siempre se modifica el contenido del offset (es la secuencia)... no hay problema en eso

Ahún así el asunto parece sencillo pero no lo es tanto.
Tal y como lo plantea Mad en el primer post, sigue siendo un proceso manual, te modifica el archivo, tienes que escanear las partes y debes ir ajustando el offset hasta dar con el, para esto existe el SignatureZero de Thor que tiene además un grafico del archivo y vas moviendo el rango con una barrita to xula y tal.

Yo estoy programando lo mismo pero totalmente automatico desde hace bastante, de momento ya detecto una o varias firmas aunque tiene varios errores y me falta darle soporte para kims. Está programado en C++ pero si quieres te lo paso por privado.

Si lo haces bien no importa si es el bifrost o el que te de la gana,  con el mio he pillado las de bifrost,optix, sub7 y netdevil.

Si decides hacerlo automático yo te aconsejo mi proceso que creo que poco se le puede hacer para que sea mas eficiente, en pseudocodigo:

hacer
   mientras haya partes detectadas
       Divides el archivo en X partes
       Escaneas las partes y eliges una detectada al azar
       Disminuyes el rango hasta el de la parte detectada
   fin mientras

   mientras haya partes detectadas
       Divides el archivo en 2 partes
       Escaneas las partes, las dos a la vez nunca serán detectadas
       Ajustas el rango a la parte detectada
   fin mientras

  Reestableces el rango a la ultima parte detectada que será la mas pequeña posible en divisiones

   mientras el "incremento" sea mayor que un byte
       Sobreescribes bytes desde el inicio del rango hasta el final de "incremento" bytes en "incremento" bytes
       Ajustas el final del rango a inicio del rango+incremento
       Disminuyes el "incremento"
   fin mientras

   En este punto tenemos el byte inicial de la firma pues repetimos el proceso anterior pero desde el final del rango dado por la division mas pequeña detectada hasta el inicio de la firma

Pero ahora se plantea otro problema y es que si tenemos dos firmas podemos haber detectado el inicio de una y el final de otra.
FFAAAAAAFF
Así que se sobreescribe el rango con X asi:
XFAAAAAAFF
FXAAAAAAFF
FFXAAAAAFF
....

Si alguna parte es detectada sabemos que había dos firmas.

Lo ultimo es ya, guardar esos offsets, modificarlos para que esa firma concreta ya no siga detectandola y repetir todo el proceso hasta que el archivo con las pequeñas modificaciones deje de ser detectado.

Igual soy yo que soy de mente simple, pensé que en un cuadrado había cuatro cuadrados, por tanto en una ele pues cuatro eles xD
La cuestión era reorganizar el espacio que te sobra en cada uno y ale.

He dado con la solución

Si es que soy bastante bueno al tetris 

Dejo el link en lugar de la imagen:

http://img181.imageshack.us/img181/6403/figuraau9.jpg

La última pregunta no la entiendo, EN PRINCIPIO porque va a ser detectable abrir una web con internetexplorer?

El kaspersky si lo detecta.
Saludos.

Jareth, por eso el "EN PRINCIPIO" en mayúsculas. Sin inyeccion de código o raw sockets ésto y usar sendmessage con una ventana abierta de iexplore es de lo máximo a lo que se puede llegar.