[m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

Iniciado por Karcrack, 23 Julio 2010, 20:58 PM

0 Miembros y 1 Visitante están viendo este tema.

Karcrack

#10
Cita de: cobein en 25 Julio 2010, 06:28 AM
Hay otra manera de hacer esto, se llama link spoofing y se puede compilar con ASM inline o cualquier otra cosa, pero obviamente requiere interceptar la llamada al linker y reemplazar el code en vb por asm.
Asi es como trabaja el ThunderVB por ejemplo, modifica los .obj antes de su linkeo. Estuve investigando, pero no me gusta para compartir codigos... ya que cada persona que quiera probarlo tendria que modificar su VB6...

Pure Ice

Cita de: BlackZeroX en 25 Julio 2010, 01:31 AM

Si usa APIs ¬¬", aun qué solo sea Una pero de que usa usa!¡.

Posiblemente se la tome ya enserió el Avira y meta una en la declaración API CallWindowProcW


Cierto cierto que no la ví, igual esa API no es detectada ( si no recuerdo mal ) , y puedes encryptar lo de USER32 para que no se vea.. :-X


Otaku=)

Entonce si es por el Sub Main() que me recomienda . para cambiar esa forma de declarar

blazecode

#13
for any reason this runpe doesnt work for me..

i call it like

TheByte() = StrConv(Datas(3), vbFromUnicode)
TheByte2() = StrConv(Datas(4), vbFromUnicode)

   
   Call RunPE(TheByte, sPath)

spath is the inject path...

the crypted file doesnt start.. cpu activity on 99% :(

thx anyway for your hard work!

Karcrack

It works perfectly, so check what are you trying to run... Make sure it's a valid PE and check wether works properly ...

Miseryk

Cita de: Karcrack en 12 Agosto 2010, 01:26 AM
It works perfectly, so check what are you trying to run... Make sure it's a valid PE and check wether works properly ...

Hola, para que sirve exactamente este codigo? Disculpen mi ignorancia.
Desde ya muchas gracias.
Can you see it?
The worst is over
The monsters in my head are scared of love
Fallen people listen up! It's never too late to change our luck
So, don't let them steal your light
Don't let them break your stride
There is light on the other side
And you'll see all the raindrops falling behind
Make it out tonight
it's a revolution

CL!!!

Karcrack

Cita de: BlackZeroX en 25 Julio 2010, 05:47 AM
.
Avisas por qué el día qué sueltes eso jura qué me instalo 2 o mas AV... entre ellos Avira ( Aun que no le guste a nadie!¡. )

Dulces Lunas!¡.
Ya estas avisado, con Zombie_AddRef@MSVBVM60 puedo llamar a cualquier puntero usando funciones nativas del VB6 ::)
http://foro.elhacker.net/programacion_visual_basic/vb6src_mzombieinvoke_llama_apis_sin_declararlas-t301834.0.html


Ves instalando AVs y reza a tu[s] dios[es] :xD

BlackZeroX

#17
.
.Lee mi firma ¬¬"...

No habra tanto rollo... solo hay que hacerle un hook a esa api y denegar TODO lo que pase por hay, cuando ejecute algun EXE...

Infierno Lunar!¡.
The Dark Shadow is my passion.

Karcrack

Cita de: BlackZeroX en 18 Agosto 2010, 21:52 PM
.
.Lee mi firma ¬¬"...

No habra tanto rollo... solo hay que hacerle un hook a esa api y denegar TODO lo que pase por hay, cuando ejecute algun EXE...

Infierno Lunar!¡.

Si hookeas ese API y lo deniegas TODO, todas las aplicaciones de VB que utilicen classes se iran a la ***** :laugh:, se puede comprobar facilmente si la llamada es legitima... pero mejor me callo... nunca se sabe si hay alguien de Avira cotilleando por aqui :laugh: :laugh:

BlackZeroX


no te procupes solo seria un hook temporal xP... solo para seguridad nada permanente!¡.

Dulces Luans!¡.
The Dark Shadow is my passion.