Generic Sever Editor Class [SRC]

Iniciado por cobein, 19 Septiembre 2008, 18:28 PM

0 Miembros y 1 Visitante están viendo este tema.

demoniox12

Cita de: cobein en 22 Septiembre 2008, 21:29 PM
A ver, posiblemente sea menos codigo hacer stub/marca/archivo o app/marca/datos pero eso no es flexible, si queres agregar mas datos tenes que modificar el codigo, de esta manera podes poner cuantos exe quieras y cuanta data quieras sin necesidad de hacer ningun cambio en el modulo. Por otra parte ese codigo lo hice en 5 minutos asi que se puede optimizar un monton para reducirlo y al final de cuentas el propertybag hace lo mismo que haces vos manualmente.

@demoniox12 seguramente el AV detecta lo que este pegado porque esta sin cifrar o encryptar, por eso mismo comente en el codigo las 2 secciones donde se puede agregar un codigo para cifrar o cifrar los datos.

hmm no lo creo.. ya que encripte el notepad de windows y lo detectan los antivirus.. o sea es asi.. el stub solo me lo detectan 2 antivirus.. el stub + marca + file cifrado me lo detectan 4.. al igual que el stub + ladata de orioertybag me lo detectan los 4 y el mismo nombre de deteccion.. asi que sospecho que es por agregar informacion adicional...

salu2!
By Demoniox

cobein

Entonces es como digo, el propertybag no tiene nada que ver con AV, el tema es que el stub y el metodo de encripcion no son FUD.
http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

F3B14N

#22
Cita de: cobein en 23 Septiembre 2008, 01:43 AM
Entonces es como digo, el propertybag no tiene nada que ver con AV, el tema es que el stub y el metodo de encripcion no son FUD.

El problema no es del metodo de encriptacion ni del stub, al menos con avira.
Estuve haciendo un par de pruebas, y avira detecta si o si un archivo, si este
tiene eof en gran cantidad.
Al hacerlo con textos "cortos" (ej: "aaaaaaaaaaaaaa") no hay problema, pero si lo
hay cuando se agregan textos "largos" (ej: string(20000, "b"))

Lo mismo sucede con el "metodo" recursos:

CitarOption Explicit

Private Declare Function BeginUpdateResource Lib "kernel32" Alias "BeginUpdateResourceA" (ByVal pFileName As String, ByVal bDeleteExistingResources As Long) As Long
Private Declare Function UpdateResource Lib "kernel32" Alias "UpdateResourceA" (ByVal hUpdate As Long, ByVal lpType As String, ByVal lpName As Long, ByVal wLanguage As Long, lpData As Any, ByVal cbData As Long) As Long
Private Declare Function EndUpdateResource Lib "kernel32" Alias "EndUpdateResourceA" (ByVal hUpdate As Long, ByVal fDiscard As Long) As Long

Private Function AgregarRecurso(Ruta As String, Datos As String)
Dim hRes As Long, i As Integer
Dim myStr() As Byte, b() As Byte

myStr = StrConv(Datos, vbFromUnicode)
hRes = BeginUpdateResource(Ruta, False)
UpdateResource hRes, "CUSTOM", 101, 0, myStr(0), Len(Datos)
EndUpdateResource hRes, False

End Function

Prueben:
CitarCall AgregarRecurso("c:\ss.exe", string(20000, "b"))
y veran que tambien es detectado como Dropper.

=============

Exluyendo ese problemita, es exelente aporte  ;-), al menos a mi me sirve bastante para no tener que estar utilizando el metodo "Append" que te hace escribir de mas, a diferencia de este que es muy comodo.

pd: Perdon x revivir el tema  :-X
Saludos  ;D