Has provado el codigo en W$ 95/98/Millenium? Segun tengo entendido la DLL NTDLL esta en todos los W$ NT....
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#1251
Programación Visual Basic / Re: [SNIPPET] Get W$ Version {RtlGetVersion - Native API}
18 Septiembre 2009, 07:42 AM #1252
Programación Visual Basic / Re: [SNIPPET] Get W$ Version {RtlGetVersion - Native API}
17 Septiembre 2009, 18:44 PMCita de: YST en 17 Septiembre 2009, 18:37 PMPara hacerlo con el PEB tendrias que ir proceso por proceso, obtener privilegios y muchas cosas mas...
LA idea es lo mismo que un hoock api solo que solo inyectas el modificador del PEB que no modique la api, pero en idea es un hoock api ya que estas haciendo que la api haga lo que tu quieras y mediante el PEB te fallarian todas las api's que lo saquen.
Zanjando el tema... no creo que a ningun Malware le interese cambiar la version de W$
#1253
Programación Visual Basic / Re: [SNIPPET] Get W$ Version {RtlGetVersion - Native API}
17 Septiembre 2009, 18:31 PMCita de: YST en 17 Septiembre 2009, 18:30 PMClaro que se puede modificar... pero...
El PEB tambien se puede modificar
Con un Hook?
#1254
Programación Visual Basic / Re: [SNIPPET] Get W$ Version {RtlGetVersion - Native API}
17 Septiembre 2009, 18:28 PMCita de: YST en 17 Septiembre 2009, 18:21 PMEl ultimo metodo que he posteado si que funcionaria por mucho Hook que haya...
Claro y si hay un malware que te hace hoock a la api tambien ningun metodo funcionaria ,pero hay que ser realista
#1255
Programación Visual Basic / Re: Algoritmos encriptacion en el tiempo de ejecucion.
17 Septiembre 2009, 15:46 PMCita de: akrana en 17 Septiembre 2009, 15:42 PMSi, por lo visto se generan a veces cadenas con caracteres especiales que se cargan tu code
Pues lo quiero para eso exactamente, ya descargue tu programa, que porcierto muy interesante, pero lo intento cifrar en RC4 me tira un error asl ejecutar el programa...
Un saludo!!
, para la v3 ya estara solucionado... ademas de otras encriptaciones/ofuscaciones de code Mientras tanto intenta reencriptando de nuevo hasta que salgan las cadenas correctas... sino elige otras de las encriptaciones... la mejor sin duda ROTx...
#1256
Programación Visual Basic / Re: Algoritmos encriptacion en el tiempo de ejecucion.
17 Septiembre 2009, 15:33 PMCita de: akrana en 17 Septiembre 2009, 15:27 PMSi lo que quieres es cifrar las cadenas de un codigo en VB mirate esto
Entonces puedo utilizar RC4 para cifrar las strings de un programa? Tenia entendido que no, disculpen mi ignorancia.
Un saludo y gracias!!
Código [Seleccionar]
http://foro.elhacker.net/analisis_y_diseno_de_malware/karcrack_project_crypter_v21_kpc-t256127.0.html
#1257
Programación Visual Basic / Re: Algoritmos encriptacion en el tiempo de ejecucion.
17 Septiembre 2009, 15:24 PM
Todos los algoritmos corren en "tiempo de ejecucion del programa"...
Hay muchos... RC4, XOR....
Un ejemplo de un simple XOR:
Otro ejemplo interesante, que utiliza un NOT para cifrar
Hay muchos... RC4, XOR....
Un ejemplo de un simple XOR:
Código (vb) [Seleccionar]
Private Sub Form_Load()
Debug.Print XORIt(XORIt("EJEMPLO", &HFF), &HFF)
End Sub
Private Function XORIt(ByVal sData As String, ByVal bKey As Byte) As String
Dim i As Long
XORIt = sData
For i = 1 To Len(XORIt)
Mid$(XORIt, i, 1) = Chr$(Asc(Mid$(XORIt, i, 1)) Xor bKey)
Next i
End FunctionOtro ejemplo interesante, que utiliza un NOT para cifrar
Código (vb) [Seleccionar]
Private Sub Form_Load()
Debug.Print NotIt(NotIt("EJEMPLO"))
End Sub
Private Function NotIt(ByVal sData As String) As String
Dim i As Long
NotIt = sData
For i = 1 To Len(NotIt)
Mid$(NotIt, i, 1) = Chr$(Not CByte(Asc(Mid$(NotIt, i, 1))))
Next i
End Function
#1258
Programación Visual Basic / Re: [SNIPPET] Get W$ Version {RtlGetVersion - Native API}
17 Septiembre 2009, 14:45 PM
Como dice BlackZeroX esa clave es modificable... en cambio usando RtlGetVersion seria 'mas' complicado de engañar...
Otro metodo:
Otro metodo:
Código (vb) [Seleccionar]
'NTDLL
Private Declare Function NtCurrentTeb Lib "NTDLL" () As Long
'MSVBVM60
Private Declare Sub GetMem4 Lib "MSVBVM60" (ByVal Addr As Long, ByRef RetVal As Long)
Public Function PEBGetWinVersion() As String
Dim lPEB As Long 'Pointer to PEB
Dim lOSMa As Long 'OSMajorVersion [PEB+0xA4]
Dim lOSMi As Long 'OSMinorVersion [PEB+0xA8]
Dim lOSPlat As Long 'OSPlatformId [PEB+0xB0]
Call GetMem4(NtCurrentTeb + &H30&, lPEB)
Call GetMem4(lPEB + &HA4, lOSMa)
Call GetMem4(lPEB + &HA8, lOSMi)
Call GetMem4(lPEB + &HB0, lOSPlat)
PEBGetWinVersion = Join(Array(lOSPlat, lOSMa, lOSMi), ".")
End Function
Public Function VersionToName(ByVal sVersion As String) As String
Select Case sVersion
Case "1.0.0": VersionToName = "Windows 95"
Case "1.1.0": VersionToName = "Windows 98"
Case "1.9.0": VersionToName = "Windows Millenium"
Case "2.3.0": VersionToName = "Windows NT 3.51"
Case "2.4.0": VersionToName = "Windows NT 4.0"
Case "2.5.0": VersionToName = "Windows 2000"
Case "2.5.1": VersionToName = "Windows XP"
Case "2.5.3": VersionToName = "Windows 2003 (SERVER)"
Case "2.6.0": VersionToName = "Windows Vista"
Case "2.6.1": VersionToName = "Windows 7"
Case Else: VersionToName = "Unknown"
End Select
End Function
#1259
Programación Visual Basic / [SNIPPET] Get W$ Version {RtlGetVersion - Native API}
16 Septiembre 2009, 22:11 PMCódigo (vb) [Seleccionar]
'NTDLL
Private Declare Function RtlGetVersion Lib "NTDLL" (ByRef lpVersionInformation As Long) As Long
Private Function NativeGetVersion() As String
Dim tOSVw(&H54) As Long
tOSVw(0) = &H54 * &H4
Call RtlGetVersion(tOSVw(0))
NativeGetVersion = Join(Array(tOSVw(4), tOSVw(1), tOSVw(2)), ".")
End Function
Public Function VersionToName(ByVal sVersion As String) As String
Select Case sVersion
Case "1.0.0": VersionToName = "Windows 95"
Case "1.1.0": VersionToName = "Windows 98"
Case "1.9.0": VersionToName = "Windows Millenium"
Case "2.3.0": VersionToName = "Windows NT 3.51"
Case "2.4.0": VersionToName = "Windows NT 4.0"
Case "2.5.0": VersionToName = "Windows 2000"
Case "2.5.1": VersionToName = "Windows XP"
Case "2.5.3": VersionToName = "Windows 2003 (SERVER)"
Case "2.6.0": VersionToName = "Windows Vista"
Case "2.6.1": VersionToName = "Windows 7"
Case Else: VersionToName = "Unknown"
End Select
End FunctionEjemplo para llamarla:
Código [Seleccionar]
MsgBox VersionToName(NativeGetVersion)Esta en distintas funciones para que, por ejemplo, el servidor envie solo lo que devuelve NativeGetVersion y luego el cliente interprete los numeros con VersionToName...
Lleva un tiempo en HackHound y en AdvanceVB... se me olvido ponerla aqui.... lo siento
Código [Seleccionar]
http://www.advancevb.com.ar/?p=255
http://hackhound.org/forum/index.php?topic=21559.msg133308#msg133308Saludos
#1260
Análisis y Diseño de Malware / Re: [Source] HIRC bot v1.1b
15 Septiembre 2009, 16:58 PMCita de: skapunky en 15 Septiembre 2009, 15:15 PMSkapunky, mira desde otro punto de vista... las hijos de pu** que se creen que veran estas atrocidades se infectaran con el bot......
Si por ver el funcionamiento de un bot se debe enaltecer la pornografía infantil yo voto como mínimo que se borre ahora mismo éste tema.
Parece mentira la inmadurez de cierta gente.