Mensajes

Podrias poner un ejemplo del source?

Te lo envié por MP.

Buscaste source por pastebin? hay algunas clases hechas pero no las probe. Existe un foro si te interesa te lo paso por privado.

Source por pastebin? El source cifrado es publico pero ninguna manera para el descifrado,
El foro esta interesante gracias.

Si alguien más sabe o vende algun programa para descifrar estos archivos mandarme un MP o agregarme al jabber ( Mi firma )
pago por esto.

Alguien sabe alguna manera de descifrar/decodificar archivos que han sido cifrados/codificados con Ioncube?
Imcluso si hay un programa que realmente funcione y es de pago, pagaria por el. Si alguien sabe , gracias

Agregado:
He probado algunos incluso de pago pero ninguno me ha funcionado, así que si alguien sabe de uno que realmente funcione.

Saludos a todos,


¿En general que tecnologías usáis para crear interfaces de usuario?¿Cuales os parecen mejores y os permiten crear resultados vistosos y bonitos(además de funcionales)?

(Es que veo que las interfaces que hago son muy pobres (además de ser solo para windows) y cómo tengo un respiro en la universidad, me he propuesto aprender un poco más sobre este asunto)

Muchísimas gracias de antemano a todos, sois geniales.

Bueno si es para Windows, con Win32 podes hacer todo lo que se puede imaginar mirar en la pantalla

El ntosknrl y el hal son cargados durante el proceso de carga del S.O., luego este carga todos los demas drivers y procesos del sistema.

Okk! Esto se empieza a aclara 

Una ultima cosa, y sigo estudiando.. por la vuelta he visto este tipo de funciones:Por que va entre parentesis? No se usa igual que las funciones en modo usuario.. 

Si es una funcion de hook para NtQuerySystemInformation, Se pasa a la funcion original los parametros que son pasados al hook de esta manera
se intercepta el resultado, aunque no hay ninguna necesidad de hacer un casting del puntero a la función si la variable ya es declarada
como tal.


Por cierto:
@EI: No seria usar las Nt's desde modo kernel:

Zw:

Código [Seleccionar] Expandir

kd> u nt!ZwCreateFile L6
nt!ZwCreateFile:
804fe08c b825000000      mov     eax,25h
804fe091 8d542404        lea     edx,[esp+4]
804fe095 9c              pushfd
804fe096 6a08            push    8
804fe098 e884f40300      call    nt!KiSystemService (8053d521)
804fe09d c22c00          ret     2Ch

Nt:

Código [Seleccionar] Expandir

kd> u nt!NtCreateFile L25
nt!NtCreateFile:
8056e38c 8bff            mov     edi,edi
8056e38e 55              push    ebp
8056e38f 8bec            mov     ebp,esp
8056e391 33c0            xor     eax,eax
8056e393 50              push    eax
8056e394 50              push    eax
8056e395 50              push    eax
8056e396 ff7530          push    dword ptr [ebp+30h]
8056e399 ff752c          push    dword ptr [ebp+2Ch]
8056e39c ff7528          push    dword ptr [ebp+28h]
8056e39f ff7524          push    dword ptr [ebp+24h]
8056e3a2 ff7520          push    dword ptr [ebp+20h]
8056e3a5 ff751c          push    dword ptr [ebp+1Ch]
8056e3a8 ff7518          push    dword ptr [ebp+18h]
8056e3ab ff7514          push    dword ptr [ebp+14h]
8056e3ae ff7510          push    dword ptr [ebp+10h]
8056e3b1 ff750c          push    dword ptr [ebp+0Ch]
8056e3b4 ff7508          push    dword ptr [ebp+8]
8056e3b7 e860d8ffff      call    nt!IoCreateFile (8056bc1c)
8056e3bc 5d              pop     ebp
8056e3bd c22c00          ret     2Ch
8056e3c0 cc              int     3
8056e3c1 cc              int     3
8056e3c2 cc              int     3
8056e3c3 cc              int     3
8056e3c4 cc              int     3
8056e3c5 cc              int     3


Mmmm, es muy raro que lo hayan hecho...

A ver, los VB (4, 5 y 6) pueden comienzar de 2 formas distintas: Desde el Sub Main, o desde el primer form que se cargue.

Si el proggie comienza con el submain, entonces la direccion de inicio esta en el VBHeader.

Si ese valor esta en 0, entonces comienza con un form.

Para saber qué se ejecuta primero, puedes poner un bp en el punto magico del runtime y listo.

Tambien puedes usar la GUITable para saber que form se ejecuta primero, buscarle los eventos usando el dsecriptor y asi, sacarle la tabla de eventos.

Saludos!

Bien, gracias por aclarar eso acerca de VB eso es porque yo solo reverseo malware que normalmente no requiere de form o no los agregan,etc. simplemente pensé que era ridiculo una actialización para VB5/6 despues de milenios, no encontraba una forma
de explicar esto.

Chicos lo han notado? la structura de la cabecera de los archivos VB5/6 ha cambiado:

00401288  56 42 35 21 36 26 2A 00 00 00 00 00 00 00 00 00  VB5!6&*.........
00401298  00 00 00 00 7E 00 00 00 00 00 00 00 00 00 00 00  ....~...........
004012A8  00 00 0A 00 09 04 00 00 00 00 00 00 00 00 00 00  ...............
004012B8  30 16 40 00 00 F0 30 00 00 FF FF FF 08 00 00 00  0@..ð0..ÿÿÿ...
004012C8  01 00 00 00 01 00 00 00 E9 00 00 00 38 12 40 00  
...
...é...8@.
004012D8  38 12 40 00 58 11 40 00 78 00 00 00 82 00 00 00  8@.X@.x...,...
004012E8  8B 00 00 00 8C 00 00 00 00 00 00 00 00 00 00 00  ‹...Œ...........
004012F8  00 00 00 00 00 00 00 00 50 72 6F 6A 65 63 74 31  ........Project1

No sé desde cuando pero hoy estaba reverseando un malware en VB y el script para encontrar el punto de entrada me estaba fallando.

agregado:
O talvez es error mio y alguno puede decir que pasa, aunque incluso compile un hello world desde un recien instalado VB6 y los offsets a cero

Los dos son basuras, pero sí, Kaspersky "proteje" más que ESET's productos 

Bueno EI lo dijó: sin esfuerzo no vas a aprender nada.
Comó se supone que uno sabrá como funciona todo si no haz leído como lo hace, vamos...
Se toma un libro de ensamblador basico: se memoriza el proposito de todas las instrucciones, practicar, sintaxis del ensamblador
y se empieza a leer ensamblador orientado a un S.O. El que EI dejo es bueno.

@cpu2: push no decrementa la stack... *Stack pointer*

Muchas gracias x65Core, es lo que me temia desde el principio pero como el creador del driver pone que lo ha probado en windows7 suponia que era la version de 64bits, seria muy complicado hacer uno para este SO? Gracias

Existen Windows 7 de 32-bits, así como Windows 8 también.
Además si se quiere cargar un driver en x64 debe estar firmado, o a menos que use un hack para cargarlo pero si es un aplicacion
legitima no habria razon porque usar algún hack. Y depende del lenguaje en que esté programado, si es C/C++, facíl, recompilando
para x64, y funcionará bien si el autor tiene un buen habito de programación de codígo para ambas arquitecturas
( Uso de casting correctamente, tamaño de punteros, etc ) y si utiliza por alguna razón utiliza propias definiciones de estructuras ya definidas,
harcodea offset's, etc ( Aunque normalmente programas legitimos no tienen ninguna necesidad de hacerlo ) pues entonces debe agregar
soporte para x64 también. Si es ASM, recodear todo el codigo