Mensajes

  emm... Creo que los valores del "ComboBox" se manejan por números del valor y no por las etiquetas de las cadenas:

Código (html4strict) [Seleccionar] Expandir

<select name=color class=selectbox>
<option value="1">Verde</option>
<option value="2">Rojo</option>
<option value="3">Azul</option>
<option value="4">Amarillo</option>
</select>

Entonces:

WebBrowser1.Document.All.Item("color").Value = "1"

Saludos!

[@BlackZeroX]

@BlackZeroX
Ya les pegué una checada a la plantilla 
...pero no entiendo mucho:

clsRedirect.Hook("msvbvm60", "__vbaEnd", AddressOf EndEx, AddressOf RealEnd)

clsRedirect.Hook(ARG1, ARG2, ARG3, ARG4)

ARG1 = DLL... ¿No?
ARG2 = ¿Función víctima?
ARG3 = ¿Función Nueva?
ARG4 = No lo entiendo...

La verdad que tengo algunas preguntas acerca de esto:

1) ¿Si la función victima debe retornar un valor?
2) Al momento de implementar el Hook, ¿todas las aplicaciónes que usen la API en cuestión se verán afectadas?
3) ¿Es directamente a una DLL, no puede ser a una aplicación?
...

@raul338
Ese ya lo había descargado y está más fichado qué nada 
El AV se pone todo paranoico 

Saludos y gracias!

[@BlackZeroX]

 

La verdad qué no encuentro nada que me ayude, todos los tutoriales sobre runPE que me encuentro son para crypters, y no son tutoriales runPE, son tutoriales "para armar crypters" en los que las primeras instrucciones te dicen: "bajate el modulo runPE X".

Ya me leí algo sobre PE de Micro$oft y de otros users, pero no me explican de como, por ejemplo, crear el proceso, escribir en el proceso, lanzarlo, los hilos y todo lo que debe hacer el "windows loader".

@BlackZeroX

Dale, venga pue, esperaré las plantillas...

Saludos y gracias...

El primer caracter en una cadena es 1 y no 0...

¡Saludos!

Y dónde está el problema? xDD

Ya me robé un modulo por ahí 

La bronca es que quería entender un poquito de qué se trataba el asunto. Además de que el modulo está más fichado que la chingada xD
A ver qué le podemos hacer para que el AV no le detecte, que claro está, no es ningun malware y no debería ser así, pero ciertos trozos de código han agarrado mala fama 

Bueno, como sea, saludos y gracias... 

Hola, en realidad si que tiene relación, porque lo que hace el code es modificar la memoria de un archivo externo en ejecución, y básicamente es lo que buscas.

Por su puesto, pero la prioridad era otra 

1) Abrir el archivo a ejecutar y obtener los datos en un Array
2) Modificar el/los offsets (en el array) para que nunca salte, es decir, que siempre se ejecute
3) Ejecutar en memoria ese Array (A.K.A RunPE)

Eso es precisamente lo que plantié desde el principio 

Saludos y gracias!

[@Slek Hacker]

Hola @Slek Hacker, pues no le encuentro relación alguna con lo que plantéo, pero igual me ayuda para algo que traigo entre manos  

Emm, dos preguntas estupidas acerca de esto:
1) ¿Cómo saber el nombre de la clase de la aplicación para findwindow?
2) ¿Como vigilar la memoria de una aplicación (externa) en ejecucion, en tiempo real? <--- ¡Listo!

Miren, la lógica de la aplicación a la que quiero modificar es la siguiente:

Variable prvInst
prvInst = CreateMutex([params])
Si prvInst = [AlgunDato] Entonces
  SalirAplicacion
Fin Si

Acudiendo al Ollydbg y un editor hexadecimal, es facilisimo burlarse de eso. Pero no quiero modificar el cliente que está en el disco.

Para esto me saltan 2 opciones:

1) Modificarlo en memoria y arrancarlo desde ahí.
2) Hook a CreateMutex *

* Pero a lo mejor estoy entendiento mal el concepto de hook (apihook), y a lo que voy leyendo lo veo muy complicado (especificamente para VB). Ustedes dirán qué opción es más viable.

Por lo pronto seguiré este instructivo, a ver donde me atoro  :

*   Lee el archivo y busca la cabecera DOS, la cabecera PE y las cabeceras de las secciones.
*    Intenta reservar espacio en memoria en la dirección del ImageBase, y si ya está en uso, la reserva en otra dirección. La cantidad de memoria que reserva está marcado por el SizeOfImage.
*    Mapea las distintas secciones de acuerdo con su VirtualOffset y VirtualSize y los Flags.
*    Si el archivo no está cargado en su ImageBase, hace una reubicación de la base del ejecutable.
*    Recorre la Import Table y carga las librerías que importa en ejecutable.
*    Rellena la IAT con las direcciones de las funciones que importa.
*    Crea el hilo inicial de ejecución y lanza el proceso.

Saludos!

[@Raul338]

@Raul338
Pues aquí en México eran las 21:00 horas 

Simplemente poner el programa en memoria, modificarle un par de bytes y arrancarlo  ... ¡es todo! 

Saludos!

Carnal:
Ya leí algo de PE anteriormente pero no se aplicarlo a VB...

Y sobre lo otro:

Forbidden

You don't have permission to access /wp-content/2009/07/RunPE.rar on this server.

Additionally, a 403 Forbidden error was encountered while trying to use an ErrorDocument to handle the request.

Gracias!

Lo de loader, lo leí en un codigo que puso Zero(creo, es su nick), pero como te digo C++ 

Por lo que dije antes te lo mandaría a Ing Inversa , haber si alguien que sepa del tema se pasa por aca.

No creo, ya hice lo que tenía que hacer con el programa, en ingeniería inversa (Casi) no tengo dudas, al menos en este caso.

También busqué ejemplos de "crypters runtime", no fue muy exitoso que digamos 

Sobre el formato PE, leí, pero hay cosas muy complejas que sencillamente no lo relaciono con lo poquito qué sé de VB.

Hoy a las 00:00 ... listo, hoy juegos los huevos (?

No entendí   

Lo de RUNPE, lo buscaré de inmediato.

Gracias Raul, explicame lo de:

Hoy a las 00:00 ... listo, hoy juegos los huevos (?

Dale, saludos!