Código [Seleccionar]
http://www.cobein.com/wp/wp-content/2010/08/Zombie.zipEl dominio advancevb se cayó pero sigue estando toda la copia en el de Cobein
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#391
Análisis y Diseño de Malware / Re: Avira 1 - Yo 0
18 Septiembre 2011, 16:38 PMEl dominio advancevb se cayó pero sigue estando toda la copia en el de Cobein
#392
Análisis y Diseño de Malware / Re: Avira 1 - Yo 0
16 Septiembre 2011, 12:52 PMCódigo [Seleccionar]
http://cobein.com/wp/?p=567Aquí tienes otro método para cargas las APIs dinámicamente y abajo del todo esta el TLB que necesitas
Por cierto, no necesitas declarar dos veces RtlMoveMemory() aunque la utilices en distintos módulos... desde el TLB queda como función Public 
#393
Análisis y Diseño de Malware / Re: Firmas en la cabecera un gran reto!
16 Septiembre 2011, 12:49 PM
La parte que te detecta como bien dice TheSwash es la estructura más básica del PE... Lo que ocurre es que si modificas eso el Avira ya no detecta el fichero como un ejecutable válido y ya no lo analiza...
Cual es el nombre de la detección?
Cual es el nombre de la detección?
#394
Análisis y Diseño de Malware / Re: Firmas en la cabecera un gran reto!
15 Septiembre 2011, 16:42 PM
Primero de todo tienes que saber que parte de la cabecera te detecta... tal vez tengas dos secciones ejecutables o ese tipo de cosas que a los AVs no les gusta 
#395
Análisis y Diseño de Malware / Re: Avira 1 - Yo 0
15 Septiembre 2011, 16:39 PM
Utiliza esta pequeña modificación:
Esta mucho menos quemada
Si dices que te lo detecta antes de agregar la información debe ser con total seguridad cuestión de las importaciones de VB6... Ves quitando APIs a ver cuales te detecta... o mételas todas en un TLB...
Código [Seleccionar]
http://foro.elhacker.net/programacion_visual_basic/asmvb6invoke_llamas_apis_sin_declararlas_kinvokebas-t290072.0.html;msg1489017#msg1489017Esta mucho menos quemada
Si dices que te lo detecta antes de agregar la información debe ser con total seguridad cuestión de las importaciones de VB6... Ves quitando APIs a ver cuales te detecta... o mételas todas en un TLB...
#396
Análisis y Diseño de Malware / Re: Avira 1 - Yo 0
12 Septiembre 2011, 20:02 PM
Utiliza un código más reciente, ese esta quemadisimo
#397
Programación Visual Basic / Re: puntero de una funcion con dos parametros.
12 Septiembre 2011, 00:34 AM
Tristemente no tengo tiempo ahora para ponerme a debuggear esto... De todas formas no veo donde estas parcheando la vTable... :S Es decir... la función FrameCallBack() no tienes porque declararla si estas usando código ASM... puedes pasar directamente el puntero al array de Bytes que contiene el código y se ejecutará... Que es lo que hace ese código ASM?
Por otra parte, las funciones que hay en las clases no funcionan del mismo método a la hora de recibir y devolver variables... el stack guarda otra información despues de los punteros.. y para devolver variables no se mete el resultado en EAX sin más... se mete en otra dirección y se indica el tipo en EAX... es algo extraño xD De aquí unos días tendré tiempo libre... entonces lo miraré
Por otra parte, las funciones que hay en las clases no funcionan del mismo método a la hora de recibir y devolver variables... el stack guarda otra información despues de los punteros.. y para devolver variables no se mete el resultado en EAX sin más... se mete en otra dirección y se indica el tipo en EAX... es algo extraño xD De aquí unos días tendré tiempo libre... entonces lo miraré
#398
Análisis y Diseño de Malware / Re: Añadir excepcion desde el Registro ?
12 Septiembre 2011, 00:18 AM
Elige un Antivirus... instalatelo en una máquina virtual... toma un snapshot del registro, añade un fichero a la lista de excepción de forma manual... toma otro snapshot del registro... compara... y TACHÁN! Conseguido! Si escribe en el registro sabrás ya en que clave... en caso de que utilice un fichero propio no descubrirás nada raro...
#399
Análisis y Diseño de Malware / Re: ¿Troyano utilizando maquinas virtuales?
12 Septiembre 2011, 00:17 AM
No debe darte ningún problema siempre que la máquina virtual tenga acceso a internet... eso sí... has de tener en cuenta que no sirve localhost/127.0.0.1 sino que debes poner la IP externa o algún DNS como no-ip...
También podrías conectarte creando una red local entre la máquina virtual y la anfitriona... pero me parece trabajo sin sentido
También podrías conectarte creando una red local entre la máquina virtual y la anfitriona... pero me parece trabajo sin sentido
#400
Análisis y Diseño de Malware / Re: Avira 1 - Yo 0
12 Septiembre 2011, 00:14 AM
Que código utilizas para hacer las llamadas de forma dinámica? Tal vez uses uno muy quemado... te recomiendo modificar un poco esos códigos ya que enseguida los AVs les ponen firmita...