Mensajes

Está bien que se te haya ocurrido, pero sí, hay bastante software que hace así, de echo la minoría lo hace con un stub (realmente con el stub lo hace solo malware "cutre" en VB6) . El método de hardcodear la dirección de lo que quieres cambiar funciona bien, es la forma más eficiente de hacerlo siempre que la longitud de los datos sea más o menos fija. El método más utilizado es lo de utilizar la sección de recursos para meter los datos de configuración, es la forma más fácil de hacerlo sin añadir stub.

Saludos


Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

Gracias Karman, y sí, lo de las importaciones por ordinal lo supe poco después de publicar el código, lo de los Forwareder Imports no se me había ocurrido. The Swash había publicado una corrección a éste código teniendo en cuenta las importaciones por ordinal, creo que en este foro también está publicado.

Pero bueno, gracias una vez más, leer código tuyo siempre es interesante, cuando tenga más tiempo publicaré una nueva versión de éste código y de la ClsHookAPI, que hace mucho tiempo que los hice y ya no me gusta demasiado como están hechos.

Saludos

Edito: Leyendolo por encima, una micro-mejora:

Código (c) [Seleccionar] Expandir


    strncpy(ForwarderDllName,(LPSTR)dwFunction,len);
    strcpy(&ForwarderDllName[len],".dll");
    // Find the module associated to it (should be already loaded)
    return GetProcAddress(GetModuleHandleA(ForwarderDllName),ForwardImportName)


El ".dll" no es necesario para llamar a GetModuleHandle ni a LoadLibrary, si no se especifica extensión la API toma por defecto siempre ".dll" .

Sí, con Visual Studio, la 2008 o la 2010 deberían de ir perfectas.

Saludos

Una cosa es que se propague rápidamente y otra que sea sofisticado, que tendrá que ver. No tiene ni que tener propagación para ser una obra de arte.

Saludos

tio yo tengo una pregunta, pero entonces el troyano sera solamente para ustedes no? xD
bueno es solo una prgeunta porque como veo que si tienen grupo, twitter no lo se...

No, el troyano será público y gratuíto, el código no, y la mayoría de plugins tampoco, pero cualquiera podrá usar el RAT con las opciones básicas de forma gratuíta.

Saludos

Según tengo entendido el Sthealth lo llevais entre varias personas  y con todo eso llevais ya bastante tiempo para ello 

Si, pero la parte en ASM fue lo primero que se hizo y fue lo más rápido. La primera versión la hice yo en una o dos semanas, la segunda Karcrack en un tiempo parecido, y la que tenemos ahora se a hido puliendo durante un largo tiempo, pero porque se va mejorando cada día, no porque lleve mucho tiempo hacerlo. Lo que lleva tiempo es hacer el gestor de plugins y una buena conexión, pero eso ya en la parte del cliente, que no tiene que ir en ASM, nosotros utilizamos C++ con Qt, que simplifica mucho el trabajo.

Saludos

Que faena, no  conservo los archivos, si alguien los conserva y los pudiera resubir sería perfecto. De todas formas, con el código puedes compilarlo perfectamente, croe que no faltaba nada, incluso el ejemplo está.

Saludos

Para programar malware el mejor es el Visual C++, la 2008 o la 2010 preferiblemente .

Saludos

Aquí el paper de MazarD sobre API Hooking:

Código [Seleccionar] Expandir

http://docs.rtfm.us/IT/Uncategorised/apihooking.pdf

Aquí tienes un ejemplo de cómo hookear a recv() y a send():

Código [Seleccionar] Expandir

http://foro.elhacker.net/analisis_y_diseno_de_malware/source_code_msnnightmare-t145854.0.html

Es para VC pero no creo que puedas tener problemas portándolo, sinó, piensa en usar VC, es el mejor compilador para estas cosas.

Saludos

Pues la gran mayoría de crypters tienen interfaz gráfica porque la gran mayoría de crypters los hacen en VB6, y la mayoría de los autores no tienen ni idea de lo que hacen, sólo se encargan de copiar y pegar módulos como los de Cobein o Karcrack. Y bueno, aparte, tú si haces un programa gratuíto es para que la gente lo use, y sabes que lo usará más gente si haces una interfaz gráfica.

Saludos