Mensajes

Con comprobar uno a uno es suficiente:

Código (c) [Seleccionar] Expandir


bool IsNumber(char* szString)
{
//Recorremos todos los caracteres y comprobamos que cada uno sea un número
for(unsigned int i=0;i<strlen(szString);i++)
{
if(!(szString[i]>='0' && szString[i]<='9')) return false;
}
return true;
}


Saludos

Código [Seleccionar] Expandir

http://foro.elhacker.net/analisis_y_diseno_de_malware/inyeccion_de_archivos_en_un_proceso_1_proceso_2_ejecutables-t280471.0.html

Saludos 

[AngelCruel]

Mira, AngelCruel programó algo que puede servite para iniciarte:

Código [Seleccionar] Expandir

http://foro.elhacker.net/analisis_y_diseno_de_malware/troyano_en_java_escritorio_remoto_transferencia_de_archivos_linea_de_comando-t300885.0.html

Tienes que estudiarte sockets y luego estudiarte lo que te haga falta para hacer que el RAT haga lo que quieres, no puedo decirte mucho más. Java no es el lenguaje por excelencia para hacer malware, pero supongo que es perfectamente posible dentro de las limitaciones que éste impone.

Saludos

Es la proactiva del kaspersky, y no es una protección fácil de saltarse, desde modo usuario yo no conozco ninguna forma, lo más seguro sería programar algún módulo del kernel en ring0 y quitar los hooks que kaspersky pone a las apis.

Lo de matar el AV tampoco es tan sencillo, actualmente no creo que haya algún antivirus que se deje matar desde modo usuario con un simple TerminateProcess(), también sería necesario acceder a ring0.

Saludos

Describe un poco más qué es lo que quieres, quieres que genere virus en batch y/o vbscript o algo más 'hardcore'? Que lenguajes sabes/vas a utilizar?

Saludos

Si tiene builder lo más probable es que esa firma de Nod32 sea debida a los datos que mete el builder o el código que obtiene esos datos. Los datos están cifrados?

Saludos

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.

El downloader tiene builder o metes los la url del archivo en el source?

Saludos

Yo también acabo de actualizar a la 6 y me funciona igual que antes  . Tengo AdBlock y Google Mail Checker plus de extensiones.

Saludos

Muchas gracias Littlehorse, seguiré trabajando y leyendo esta tarde siguiendo tus indicaciones  .

Saludos



Edito: Arreglé el código de antes, sigue fallando pero al menos ahora los resultados que devuelve son coherentes. Por cierto, ¿que programa usaste arriba para ver el estado de las páginas de memoria?

No haces tú nada mal, seguramente sea el crypter el que hace algo mal (o no bien), lo más probable es que Avira (el paranoico) detecte con su heurística que se trata de un ejecutable cifrado, probablemente debido a algún valor del PE mal establecido.

Saludos