Mensajes

Buenísima idea, estuve hace poco investigando el tema, pero no me acaba de convencer el uso de servidores ajenos... soy un poco paranoico xD Permitirás configurar servidores propios? O es el mismo cliente el que hará de servidor?

Nota: El nombre del protocolo es XMPP, Jabber esta ya fuera de uso

Código (vb) [Seleccionar] Expandir

Public Static Function ShiftLeft05(ByVal Value As Long, ByVal ShiftCount As Long) As Long
' by Jost Schwider, jost@schwider.de, 20010928
  Dim Pow2(0 To 31) As Long
  Dim i As Long
  Dim mask As Long
 
  Select Case ShiftCount
  Case 1 To 31
 
    'Ggf. Initialisieren:
    If i = 0 Then
      Pow2(0) = 1
      For i = 1 To 30
        Pow2(i) = 2 * Pow2(i - 1)
      Next i
    End If
   
    'Los gehts:
    mask = Pow2(31 - ShiftCount)
    If Value And mask Then
      ShiftLeft05 = (Value And (mask - 1)) * Pow2(ShiftCount) Or &H80000000
    Else
      ShiftLeft05 = (Value And (mask - 1)) * Pow2(ShiftCount)
    End If
 
  Case 0
 
    ShiftLeft05 = Value
 
  End Select
End Function

Código [Seleccionar] Expandir

http://xbeat.net/vbspeed/c_ShiftLeft.htm#ShiftLeft05

Código (vb) [Seleccionar] Expandir

Public Function ShiftRight08(ByVal Value As Long, ByVal ShiftCount As Long) As Long
' by Jost Schwider, jost@schwider.de, 20011010
  Select Case ShiftCount
  Case 0&:  ShiftRight08 = Value
  Case 1&:  ShiftRight08 = (Value And &HFFFFFFFE) \ &H2&
  Case 2&:  ShiftRight08 = (Value And &HFFFFFFFC) \ &H4&
  Case 3&:  ShiftRight08 = (Value And &HFFFFFFF8) \ &H8&
  Case 4&:  ShiftRight08 = (Value And &HFFFFFFF0) \ &H10&
  Case 5&:  ShiftRight08 = (Value And &HFFFFFFE0) \ &H20&
  Case 6&:  ShiftRight08 = (Value And &HFFFFFFC0) \ &H40&
  Case 7&:  ShiftRight08 = (Value And &HFFFFFF80) \ &H80&
  Case 8&:  ShiftRight08 = (Value And &HFFFFFF00) \ &H100&
  Case 9&:  ShiftRight08 = (Value And &HFFFFFE00) \ &H200&
  Case 10&: ShiftRight08 = (Value And &HFFFFFC00) \ &H400&
  Case 11&: ShiftRight08 = (Value And &HFFFFF800) \ &H800&
  Case 12&: ShiftRight08 = (Value And &HFFFFF000) \ &H1000&
  Case 13&: ShiftRight08 = (Value And &HFFFFE000) \ &H2000&
  Case 14&: ShiftRight08 = (Value And &HFFFFC000) \ &H4000&
  Case 15&: ShiftRight08 = (Value And &HFFFF8000) \ &H8000&
  Case 16&: ShiftRight08 = (Value And &HFFFF0000) \ &H10000
  Case 17&: ShiftRight08 = (Value And &HFFFE0000) \ &H20000
  Case 18&: ShiftRight08 = (Value And &HFFFC0000) \ &H40000
  Case 19&: ShiftRight08 = (Value And &HFFF80000) \ &H80000
  Case 20&: ShiftRight08 = (Value And &HFFF00000) \ &H100000
  Case 21&: ShiftRight08 = (Value And &HFFE00000) \ &H200000
  Case 22&: ShiftRight08 = (Value And &HFFC00000) \ &H400000
  Case 23&: ShiftRight08 = (Value And &HFF800000) \ &H800000
  Case 24&: ShiftRight08 = (Value And &HFF000000) \ &H1000000
  Case 25&: ShiftRight08 = (Value And &HFE000000) \ &H2000000
  Case 26&: ShiftRight08 = (Value And &HFC000000) \ &H4000000
  Case 27&: ShiftRight08 = (Value And &HF8000000) \ &H8000000
  Case 28&: ShiftRight08 = (Value And &HF0000000) \ &H10000000
  Case 29&: ShiftRight08 = (Value And &HE0000000) \ &H20000000
  Case 30&: ShiftRight08 = (Value And &HC0000000) \ &H40000000
  Case 31&: ShiftRight08 = CBool(Value And &H80000000)
  End Select


Código [Seleccionar] Expandir

http://xbeat.net/vbspeed/c_ShiftRight.htm#ShiftRight08

Tal vez no este acostumbrado a los tratos comerciales ... pero conmigo siempre se ha acordado un precio final al inicio de la negociación... luego yo ya he puesto tantas lineas como he necesitado

Digo que normalmente se ve en texto plano porque suelen ser RATs cutres que no se toman la molestia ni en cifrar el no-ip...

Se captura directamente la direccion no-ip, al menos en Anubis, ya que este no intercepta solo la conexion una vez efectuada, si no que intercepta el intento de obtener la IP a partir del dominio... es decir... obtiene la cuenta no-ip

[@pitoloko:]

@pitoloko: No te preocupes, hasta donde yo tengo entendido Anubis no distribuye las muestras a ninguna casa de AVs

Pues no se específicamente que técnica utilizarían... Normalmente con abrirlo con un editor hexadecimal ya puedes encontrar la cuenta No-IP en texto plano... Otras se ejecuta desde una maquina virtual y se observan las conexiones salientes... Pero sin duda la más fácil es subirlo a Anubis, allí ya te dicen donde se intenta conectar y mucha más información interesante

Lo unico que ha de tener un buen RAT es un sistema de gestion de plugins estable y rapido. A partir de ahi sencillamente hay que esperar a que la comunidad de usuarios cree las funciones que sean necesarias.

Mi granito de arena; Una forma más rápida de hacer el Swapnumbers() sin usar variable temporal:

Código (vb) [Seleccionar] Expandir

Private Sub Swapnumbers(ByRef l1 As Long, ByRef l2 As Long)
   l1 = l1 Xor l2
   l2 = l2 Xor l1
   l1 = l1 Xor l2
End Sub

También acelerararias un poco si enlazases RtlMoveMemory() directamente desde NTDLL y no desde KERNEL32

Quien quiera ahorrarse un poco de trabajo ya lo tiene hecho

Código [Seleccionar] Expandir

http://www.planetsourcecode.com/vb/scripts/ShowCode.asp?txtCodeId=54237&lngWId=1
Creo que el señor Amoxys ya ha ganado el reto

Las funciones siempre acaban del mismo modo, hay dos tipos de final de funcion dependiendo del tipo... no recuerdo muy bien... pero con el OllyDbg podras verlo... y luego sencillamente te hara falta un bucle con RtlMoveMemory() para leer hasta el final de la funcion