Mensajes

Sin saber que detección salta es difícil saber cual es la razón y cual es la mejor forma de abordar el asunto.

Si puedes poner un escaneo del fichero para saber que detecciones salen...

No has respondido ninguna de mis preguntas.

¿Qué detección te salta? ¿Te salta por heurística, proactiva o firma? Si fuese firma: ¿Has intentado ya buscar la posición de la firma?

Hasta que no tengas la respuesta a esas preguntas no te podremos ayudar.

saludos

Eliminar el ejecutable no parece sencillo. Eso sí, puedes modificarlo e incluso puedes renombrarlo. Para ello debes cerrar todos los handles que haya abiertos al fichero. Había un código dando vueltas por ahí... si lo encuentro lo posteo. Es básicamente lo que hace el Unlocker.

saludos

Comprueba que realmente la convención de llamada sea __stdcall. Comprueba también que la DLL generada por C# sea una librería estándar (no ActiveX).

El tema ha sido movido a Seguridad.

http://foro.elhacker.net/index.php?topic=356733.0

Código (vb) [Seleccionar] Expandir

Private Declare Function ReadDataFromTPM Lib "TPMCtrl_WinBond.dll" (UserData As Byte) As Long

Código (vb) [Seleccionar] Expandir

Dim m_UserData(0x18) As Byte
Call ReadDataFromTPM(mybytes(0))

Sería equivalente al code de RHL pero sin necesidad de llamar a VarPtr()... tal y como está aquí arriba debería de funcionarte a la perfección.

Hay muchísima información al repecto. Busca sobre Invoke/CallAPI... Aunque la mejor solución es el ofuscador de APIs.

Código [Seleccionar] Expandir

http://foro.elhacker.net/analisis_y_diseno_de_malware/creando_un_troyano_en_vb6_c-t177919.0.html

Comprueba que no malformas el stack. Ya que LoadLibrary no debería intentar escribir en ningún lado.