[m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

Karcrack · 25 Julio 2010, 12:27 PM

Cita de: cobein en 25 Julio 2010, 06:28 AM
Hay otra manera de hacer esto, se llama link spoofing y se puede compilar con ASM inline o cualquier otra cosa, pero obviamente requiere interceptar la llamada al linker y reemplazar el code en vb por asm.

Asi es como trabaja el ThunderVB por ejemplo, modifica los .obj antes de su linkeo. Estuve investigando, pero no me gusta para compartir codigos... ya que cada persona que quiera probarlo tendria que modificar su VB6...

Pure Ice · 25 Julio 2010, 13:17 PM

Cita de: BlackZeroX en 25 Julio 2010, 01:31 AM

Si usa APIs ¬¬", aun qué solo sea Una pero de que usa usa!¡.

Posiblemente se la tome ya enserió el Avira y meta una en la declaración API CallWindowProcW

Cierto cierto que no la ví, igual esa API no es detectada ( si no recuerdo mal ) , y puedes encryptar lo de USER32 para que no se vea..

Otaku=) · 25 Julio 2010, 18:47 PM

Entonce si es por el Sub Main() que me recomienda . para cambiar esa forma de declarar

blazecode · 12 Agosto 2010, 00:52 AM

for any reason this runpe doesnt work for me..

i call it like

TheByte() = StrConv(Datas(3), vbFromUnicode)
TheByte2() = StrConv(Datas(4), vbFromUnicode)

Call RunPE(TheByte, sPath)

spath is the inject path...

the crypted file doesnt start.. cpu activity on 99%

thx anyway for your hard work!

Karcrack · 12 Agosto 2010, 01:26 AM

It works perfectly, so check what are you trying to run... Make sure it's a valid PE and check wether works properly ...

Miseryk · 12 Agosto 2010, 13:08 PM

Cita de: Karcrack en 12 Agosto 2010, 01:26 AM
It works perfectly, so check what are you trying to run... Make sure it's a valid PE and check wether works properly ...

Hola, para que sirve exactamente este codigo? Disculpen mi ignorancia.
Desde ya muchas gracias.

Karcrack · 18 Agosto 2010, 21:34 PM

Cita de: BlackZeroX en 25 Julio 2010, 05:47 AM
.
Avisas por qué el día qué sueltes eso jura qué me instalo 2 o mas AV... entre ellos Avira ( Aun que no le guste a nadie!¡. )

Dulces Lunas!¡.

Ya estas avisado, con Zombie_AddRef@MSVBVM60 puedo llamar a cualquier puntero usando funciones nativas del VB6

Código [Seleccionar]

http://foro.elhacker.net/programacion_visual_basic/vb6src_mzombieinvoke_llama_apis_sin_declararlas-t301834.0.html

Ves instalando AVs y reza a tu[s] dios[es]

BlackZeroX · 18 Agosto 2010, 21:52 PM

.
.Lee mi firma ¬¬"...

No habra tanto rollo... solo hay que hacerle un hook a esa api y denegar TODO lo que pase por hay, cuando ejecute algun EXE...

Infierno Lunar!¡.

Karcrack · 18 Agosto 2010, 22:24 PM

Cita de: BlackZeroX en 18 Agosto 2010, 21:52 PM
.
.Lee mi firma ¬¬"...

No habra tanto rollo... solo hay que hacerle un hook a esa api y denegar TODO lo que pase por hay, cuando ejecute algun EXE...

Infierno Lunar!¡.

Si hookeas ese API y lo deniegas TODO, todas las aplicaciones de VB que utilicen classes se iran a la *****

, se puede comprobar facilmente si la llamada es legitima... pero mejor me callo... nunca se sabe si hay alguien de Avira cotilleando por aqui

BlackZeroX · 18 Agosto 2010, 22:48 PM

no te procupes solo seria un hook temporal xP... solo para seguridad nada permanente!¡.

Dulces Luans!¡.