Mensajes

[[ABRIL NEGRO][MALWARE]Karcrack Ransom]

Esta es una función de este proyecto que codeé para el Abril Negro :

[ABRIL NEGRO][MALWARE]Karcrack Ransom

Código (vb) [Seleccionar] Expandir

'---------------------------------------------------------------------------------------
' Procedimiento : GetLnkTarget
' Autor         : Karcrack
' Fecha         : 28/04/2009
' Parametro(s)  : sPath -> Ruta del fichero *.lnk
' Return        : La ruta a la que apunta el fichero *.lnk
'---------------------------------------------------------------------------------------

Private Function GetLnkTarget(ByVal sPath As String) As String
    Dim WSH         As Object
    Dim oShellLnk   As Object
 
    Set WSH = CreateObject("WScript.Shell")
    Set oShellLnk = WSH.CreateShortcut(sPath)

    GetLnkTarget = oShellLnk.TargetPath
   
    Set WSH = Nothing
    Set oShellLnk = Nothing
End Function

Saludos

[A]

Porcentaje de acercamiento?

Que pretendes obtener teniendo solo dos números?...

Puedes saber cuantas veces A es mas grande que B o viceversa..

Pero no entiendo que es el porcentaje que quieres...

(A/B)*100

Bueno... si he entendido bien tu pregunta esto debería ir en Ingeniería Inversa, a no ser que el 'Baldurs Gate' sea Open Source y este en VB...

De otra forma tendrás que destripar el juego...

Lo que podemos hacer es un script que con un for pase por todos los numeros del 0 a 99999999 de X y Y y si tiene alguna coincidencia, pam! jodido!

Un bucle bastante largo.. si lo haces con JS no se si el user se quedara tanto rato en la pagina

He estado mirando y el GetCommandLine se usa para obtener la ruta completa donde estas (%0)...

[FUD]

No, lo empecé ayer y lo tenía ayer casi todo, me faltaba el stub con icono que quería sacarle el eof pero al final lo dejé igual. Lo de las apis de compresión es impresionante el ratio que tienen  .

Saludos

Si, impresionante...

Y para quien le interese, es casi FUD:

File Info

Report generated: 10.5.2009 at 14.34.41 (GMT 1)
Filename: x.txt.exe
File size: 1 KB
MD5 Hash: C81DD690DFB5E661A08D5D4200141561
SHA1 Hash: 991752693E603ED44D5966F7BE875F9CF13A104F
Packer detected: Nothing found *
Self-Extract Archive: Nothing found
Binder Detector:  Nothing found
Detection rate: 2 on 23

Detections

a-squared - Nothing found!
Avira AntiVir - TR/Crypt.XPACK.Gen
Avast - Nothing found!
AVG - Nothing found!
BitDefender - Nothing found!
ClamAV - Nothing found!
Comodo - Nothing found! 
Dr.Web - Nothing found!
Ewido - Nothing found!
F-PROT 6 - Nothing found!
IkarusT3 - Nothing found!
Kaspersky - Nothing found!
McAfee - Nothing found! 
MHR (Malware Hash Registry) - Nothing found!
NOD32 v3 - Nothing found! 
Norman - Nothing found!
Panda - Nothing found!
Quick Heal - Suspicious
Solo Antivirus - Nothing found!
Sophos - Nothing found!
TrendMicro - Nothing found!
VBA32 - Nothing found!   
Virus Buster - Nothing found!

Scan report generated by 
NoVirusThanks.org

Seria fácil de FUDear, con reemplazar ShellExecute

Jejeje, menudo ritmo... que lo empezaste, hace una semana?

Me alegro que te gustara la idea de las APIs de compresión

Voy a testearlo y te cuento

Para la próxima podrías añadir lo de eligir si ejecutar o no

Me ha funcionado perfectamente

4kb + 264kb -> 263kb

He estado mirando... Estas APIs para que las gastas?

• GetCommandLine
• wsprintf

Lo digo porque podrías quitarlas... te ahorrarías importar USER32... ademas, también puedes eliminar SHELL32, si usas para abrir los ficheros WinExec + 'CMD /C /D' (MUCHO MENOS DETECTADA)

Te ahorrarías unos bytes

Ah! Que directorio temporal gasta? WinDir? Mejor %TMP%

Has de tener en cuenta que con el método Replace() reemplazas todas las lineas con el mismo texto que la que indicas...

Aquí esta el código mas sencillo que se me ha ocurrido...

Código (vb) [Seleccionar] Expandir

Private Sub Form_Load()
    'Reemplaza la linea numero 10 por 'LINEA REEMPLAZADA
    Text1.Text = ReplaceLine(Text1.Text, "LINEA REEMPLAZADA", 10)
End Sub

Public Function ReplaceLine(ByRef sExpression As String, ByVal sReplace As String, ByVal lLineNumber As Long) As String
    Dim sLine       As String
   
    'Si no hay suficientes lineas salimos
    If UBound(Split(sExpression, vbCrLf)) < lLineNumber Then Exit Function
    'Obtiene el texto de esa linea
    sLine = Split(sExpression, vbCrLf)(lLineNumber - 1)
    'La reemplaza (A ELLA Y A TODAS LAS QUE SEAN IGUALES)
    ReplaceLine = Replace$(sExpression, sLine, sReplace)
End Function

[Recuerda modificar también los Data Directories]

Recuerda modificar también los Data Directories

Simplemente era que habías movido la Import Table, pero no habías modificado su Virtual Address...

Para solucionarlo solo has de recorrer todos los Data Directories, y si su V.A es distinta de 0 sumale el tamaño que agregas a la sección

Versión Funcional Modificada:

Código [Seleccionar] Expandir

http://www.box.net/shared/ve6o4k2yea



Por lo visto no solo hace falta eso, el PE Explorer lo modifica casi todo

Código [Seleccionar] Expandir

09.05.2009 00:26:11 : Saving new image file: Saving started...
09.05.2009 00:26:11 : Recalculating the Section Headers...
09.05.2009 00:26:11 : Section <.idata>:  Old "VirtualAddress": 00404200h; New "VirtualAddress": 00404000h
09.05.2009 00:26:11 : Data Directory <Import Table>:  Old "VirtualAddress": 00404200h; New "VirtualAddress": 00404000h
09.05.2009 00:26:11 : New Value of "SizeOfCode": 00000600h
09.05.2009 00:26:11 : Old "SizeOfImage": 00004256h; New "SizeOfImage": 00005000h; Change in "SizeOfImage": 00000DAAh
09.05.2009 00:26:22 : Updating "SizeOfImage"... New "SizeOfImage": 00005000h
09.05.2009 00:26:22 : Backup copy of the target file saved as: C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\ESCRITORIO\Copia de modMessageBox.exe.(1).bak
09.05.2009 00:26:22 : New image file saved as: C:\Documents and Settings\Administrador\Escritorio\Copia de modMessageBox.exe