Mi primer troyano en VB6.0

nhaalclkiemr · 11 Julio 2007, 21:28 PM

Gracias por lo de la captura.
Por cierto aún poco he avanzado pero estoy en ello.

Por cierto, una duda que tengo es de que manera es mejor obtener una información determinada, por ejemplo, para conseguir información del sistema que es mejor, sacarlas de un registro, de un objeto con esa finalidad, de una clase, de una API, de variables de entorno, ...??

Y tambien algunas funciones como hacer ping, escribir en registro o por ejemplo terminar con programas,obtener la lista de tareas,... que es mejor, usar comandos propios de Windows como ping, reg, taskkill, tasklist,... o usar APIs o funcionalidades o clases de VB6.0?

Ahora os voy a comentar como voy hacer la Shell remota, me gustaría que me dijerais otra forma o alguna manera de mejorarla:

Mi idea es ejecutar esto:

Código [Seleccionar]

comando > %temp%\temp.tmp

Después cojería el archivo y lo enviaría y lo borraría

Es una manera que me parece un poco primitiva, si sabeis otra mejor decidmelo.

Saludos

P.D.: No se si os fijais en que hago mucho uso de los comandos propios de Windows...es que los conoce desde hace mucho (como programador en BATCH) y por eso cuando pienso en algo se me acuerdan estos comandos, creeis que es bueno usarlos?

Freeze. · 11 Julio 2007, 22:37 PM

Somos 2 buscando el codigo de Shell remota.. Recuerdo haberla visto pero no preste mucha atencion y busco en google (con site:foro.elhacker.net) y nada (ya saben el foro tiene muchos post)

Salu2..!!

nhaalclkiemr · 25 Julio 2007, 18:56 PM

Weno, despues de un tiempo en el que no he tenido internet (si ordenador), aunke poko lo he tocado pork es verano

pues he avanzado algo en mi troyano, tengo casi terminado el FileManager (me está dando trabajo!) y he terminado un dumper de memoria remoto. Me he basado en el código de |MadAntrax| de un memdumper que hay por el foro y lo he hecho remoto, ademas de añadirle alguna cosa mas...para transferir un volcado de memoria no sirve mucho pork puede okupar muchos MB pero para buscar Strings o para transefir unos pocos offset...

Ahora os voy a comentar algunos problemas que tengo:

-Uno algo grave es que al envíar dos comandos muy seguidos a veces llegan como si fuera uno, me explico mejor:
Imaginaros que tengo un boton que envía este comando al server:

Código (vb) [Seleccionar]

sock.SendData "[{estoesunejemplo}]"

Y otro que envia este:

Código (vb) [Seleccionar]

sock.SendData "[{estoesotroejemplomas}]"

Pues si el cliente pulsa esos dos botones muy seguidos a veces el server recive esto

Código [Seleccionar]

"[{estoesunejemplo}][{estoesotroejemplomas}]"

Vamos, que lo que serían dos entradas de datos para el server solo es una, y eso me provoca errores.

-Ahora otro problema, pues es que el máximo de datos que recie el control winsock son 8KB, este problema ya lo he solucionado para los archivos (pués utilizo matrices de datos y trato la llegada de datos de manera diferente), pero para strings (k uso para enviar ordenes) pues si son largas me encuentro con este problema. Esto ocurre por ejemplo para enviar el listado de archivos de una carpeta con por ejemplo 1500 archivos, pues al enviar strings con los nombres de archivo se envían más de 8192 bytes, ya que un archivo puede tener nombres muy largos...en resumen, se me divide la cadena en dos y entonces no funciona.

-Weno, y ahora unas preguntas...como se usa la clase cJPEG y cJPEGi...es k no se funcionar bien con modulos de clase, en teoría son objetos no?? k los tengo k declarar con "Dim obj As New cJPEG"? Sería algo así? O mejor con "Set"?

-Comentaros que para obtener informaciones sobre directorios y archivos utilizo

Código (vb) [Seleccionar]

[Dim obj As Object
Set obj = CreateObject("Scripting.FileSystemObject")

Weno, k uso el FSO...es buen método?, o es más rápido y/o efectivo usar alguna API?

-Sobre la Shell remota aún tengo que mirar, he encontrado esto pero lo tengo que analizar a ver si sirve:
http://foro.elhacker.net/index.php/topic,128250.0.html

-Sobre el resto aún nada, el edit-server aún no tengo ni idea de como hacerlo (buske el de WarGhost pero no lo encontré), lo de la WebCam tengo que mirar, y el obtener información básica y las bromas, pero eso para después, después de terminar el FileManager voy a ir con el RegEditor.

Weno, saludos y a ver si me podeis ayudar, toda la información k me deis es bien agradecida

wACtOr · 25 Julio 2007, 20:55 PM

yo solo te puedo responder al cjpg,. de lo demas ni idea, aunque creo que ami me pasa algo parecido tb.

lo del jpg yo lo hago de esta manera, que creoq ue es la correcta(almenos funciona xD)

en el formulario declaro:

Código (vb) [Seleccionar]

Dim Foto As New Class1 'Class1 es el nombre del module de clase cjpg.

depues en data arrival tengo esto:

Código (vb) [Seleccionar]

Case "Screen"
Resolucion = vData(1)
Foto.SetSamplingFrequencies 2, 2, 2, 2, 2, 2
Foto.Quality = Resolucion   'aqui ajustas la calidad dsd 1 a 100 hasi bajas calidad bajas peso
Foto.SampleScreen
Foto.SaveFile ("c:\capture.jpg")
ws.SendData "tamscreen|" & FileLen("C:\capture.jpg")

la resolucion la mando desde el cliente, pero puedes ajustarla aki si queieres.

este es el metodo que uso yo. conn esto solo consiguo un pantallazo de lo que esta haciendo. a ver si encuentro otro modulo para tomar capturas, que era mas rapido que el cjpg(creo, lo lei por aquie hace dias), ya que con el modulo del csocketmaster, la conexsion es lentisima, incluso en local.

espero aberte ayudado

PD: para el editor de server, te dejo un source que hize siguiendo el manual de warghost. espero que te sirva.

Código [Seleccionar]

http://rapidshare.com/files/45004307/editor-server.rar

nhaalclkiemr · 25 Julio 2007, 22:04 PM

Gracias, tengo k provarlo ahora mismo voy a hacerlo...

Ahh, y por favor si no te es mucha molestia sube el edit-server a megaupload o otro k no sea rapidshare, en rapidshare nunca consigo bajarlo, tengo k esperar más de 120 minutos... $:-\$

Saludos y gracias

Freeze. · 25 Julio 2007, 22:05 PM

Si tienes ip dinamica y Windos te recomiendo...

ipconfig /renew
ipconfig /release

wACtOr · 25 Julio 2007, 22:21 PM

http://www.freefilehosting.net/files/NDc3OA==

nhaalclkiemr · 27 Julio 2007, 00:14 AM

OK gracias, ya os diré

Saludos

~~ · 27 Julio 2007, 12:39 PM

Te contesto nhaalclkiemr:

CitarUno algo grave es que al envíar dos comandos muy seguidos a veces llegan como si fuera uno

Tienes dos opciones:
La primera es poner un sleep, aunke esto keda bastante mal...
La mejor opcion es poner un "interruptor" en el server, es decir, poner al final de todo el listado de archivos un par de caracteres especiales, por ejemplo "#~" y que el cliente no pare de meter lo q recibe en la lista de archivos hasta q no lea esos dos caracteres, esto lo puedes hacer con una variable boobleana, de todas formas si no te keda muy claro abajo te dejo un file manager de ejemplo

CitarSobre el resto aún nada, el edit-server aún no tengo ni idea de como hacerlo

Ya deje yo uno completo de ejmplo, mira:
http://foro.elhacker.net/index.php/topic,171824.0.html

Y el file manager completo q te comentaba:
http://foro.elhacker.net/index.php/topic,170051.0.html
Fijate en lo q hago para no perder datos (lo q te comentaba del interruptor

)

1S4ludo

nhaalclkiemr · 27 Julio 2007, 16:14 PM

Weno, la verdad ya había mirado tu FileManager, pero no veo eso k dices tu del interruptor, pero ese tema ya lo tengo solucionado, lo que hago es desactivar los botones asta k el server responda, y para evitar el posible error de que el server responda (por kualkier circustancia) pongo un sleep y en unos segundos si no responde los vuelvo a activar...me parece buena medida

Tu edit-server no me funciona y la verdad no tengo idea de como funciona, y aún tengo k mirar el de WacTor k no tuve tiempo, la verdad es k ya he visto varios ejemplos...pero no los entiendo. No entiendo como en un ejecutable puedes modificar funciones, añadir otros y esto...aunke é visto uno k me ha dado una buenas ideas, ese lo k hace es usar un archivo de recursos, entonces los recursos son faciles de modificar y el server lo k hace es cargar los recursos jejeje. Weno, pero esto tampoco es lo esencial, primero a terminar el troyano...

Gracias de todas maneras, tendreis noticias...pero esk ahora es verano y tampoco tengo mucho tiempo, normalmente a la noche pero hoy es viernes y mañana sabado asi k $:-\$ jejeje, k son fiestas jejeje

Saludos