Hide DLL [SRC]

Iniciado por cobein, 8 Junio 2009, 18:53 PM

0 Miembros y 2 Visitantes están viendo este tema.

cobein

Es una clase para ocultar librerias en tu propio proceso, se puede modificar para usar con inyeccion o hacerlo remotamente. Usen Process Explorer o algo similar para ver las librerias cargadas en mem y comprovar que se ocultan.

http://uploading.com/files/CIN6X71E/Hide DLL.rar.html
http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

Karcrack

Como ya te dije en HH buen trabajo ;D

Se puede modificar para que modifique esto en algunos procesos... haciendo así tu inyección DLL invisible... o al menos eso creo :P

PD:Deberías actualizar tu web :-\ :P

cobein

Sip, exactamente =D

Mi pagina...... si la voy a arreglar. Tengo que juntar todo el source que postie por ahi primero.
http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

locot3

Muy bueno , y gracias nesecitava en ejemplo de como hacer eso y no encontre mucho desde hace algun tiempo ,,,,, ; )p

bizco

Esta bien, pero fijate que aunque la escondas del peb..... prueba a usar EnumProcessModules y divide entre 4 el parametro cb y veras como algo no cuadra :).

Karcrack

Cita de: ctlon en  8 Junio 2009, 21:09 PM
Esta bien, pero fijate que aunque la escondas del peb..... prueba a usar EnumProcessModules y divide entre 4 el parametro cb y veras como algo no cuadra :).
Lo que no cuadra es la cuenta... osea, te salen mas de las que ves... pero creo que no puedes hacer nada mas...

A ver... voy a probar :P

cobein

mmm a ver no capto...

Declare Function EnumProcessModules Lib "PSAPI.DLL" (ByVal hProcess As Long, ByRef lphModule As Long, ByVal cb As Long, ByRef cbNeeded As Long) As Long

cbNeeded devuelve 60 / 4 = 15 que son los modulos que veo con Process Explorer, de que me perdi aca? xD
http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

bizco

lo que te digo es que aunque veas 8 por ejemplo la division te va  a dar 9 si escondes uno....... ¿que quiero decir con esto? que huele mucho a "raro".

Citarpero creo que no puedes hacer nada mas...

¿como que no puedes hacer nada mas? puedes hacer todo, ya que tienes la base de la dll, puedes incluso descargar las dll ocultas en tu proceso. simplemente se esconde de la lista apuntandola a la siguiente, pero esto no te bloquea el acceso.

No pasa nada, es simplemente que no es tan invisible como parece.

cobein

#8
Bien, la verdad no veo lo que decis, comprendo lo que planteas pero llamo a EnumProcessModules y cbNeeded devuelve la cantidad de bytes que se necesitan para listar las librerias correcto? bien, divido la cantidad por 4 y me da el numero de librerias. Ahora hago esto antes y despues de "ocultar" una libreria y lo que veo es que cbNeeded es 4 bytes menos que antes de ocultar la libreria.. lo que quiere decir que hay una menos en la lista.

Podrias poner un ejemplo de lo que estas planteando porque no logro reproducirlo.

EDIT: Aca esta un test que hice, no veo la diferencia excepto por la libreria oculta.

http://uploading.com/files/QX1YSWAD/Hide DLL.rar.html
http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.

LeandroA

Muy bueno, como le estas dando masa a estos movimientos de memoria, una pregunta un poco fuera de este ejemplo, de esta forma se podra obtener si la aplicacion esta aplicando los temas de xp, UxTheme.dll, no encontre ninguna api que me informe de esto pero capas que mirando en la memoria del ejecutable se pueda¿?¿?

Saludos