[POC] Kaspersky Killer

Iniciado por XcryptOR, 13 Abril 2009, 19:55 PM

0 Miembros y 1 Visitante están viendo este tema.

F3RH4CK

me sale que hay error en una sub no definida OpenProcess

locot3

Exelente CODIGO !! hahah , gracias por compartir, ahora Un pregunta :
al principio del codigo dice que cuando el equipo reinicie ya no tendra conexion a internet en la parte de BUGS ,, ?¿?¿ entendi bien o mi ingles no anda muy bien ?? heheh gracias !!

XcryptOR

el problema es con el driver klim5 del kaspersky que actua como filtro NDIS , y como al eliminar su servicio desde la entrada en el registro este ya no va mas entonces debes desintalarlo o limpiar la stack  TCP/IP pero eso no es problema el codigo tiene una funcion que trabaja para resolver el problema, ahora si lo malo de este code es que como una gran mayoria de personas lo ha usado ya no es indetectable, es detectado por varios antivirus como w32.atraps.gen. no se hay muchas cosas en el codigo que no son necesarias, depura el code y cifra las apis para que siga trabajando yo ya lo hize y esta otra vez FUD y trabajando mejor que nunca, ya no presenta bugs, ni tanto codigo.

saludos



locot3

ok super! entonces cambiando nombres a algunas raiables y cosas asi creo que podre hacerlo pasar desapercivido pero eso de cifrar las apis ni idea algun ejempito ??
hahha muchas gracias y hasta luego ç1!!!

XcryptOR

el solo cambiar el nombre de las variables no basta, mira por aqui hay algo de Cobein la función se llama CallApiByName. me gustaria yudarte más pero estoy corto de tiempo saludos.



c4st0r

Buenisimo aporte, me gustaria saber si ese code le ha fucnionado a alguien, estoy pasando el modulo del Unhook Api a ASm pero he visto que en esta parte del modulo
Do While bFirstChunk Or CBool(BaseRelocationFromPtr(pbr).VirtualAddress)

pbr previamente no tiene ningun valor, es decir de NULL, entonces al querer copiar desde 0 la memoria, el code peta en esta funcion

Private Function BaseRelocationFromPtr(ByVal pbr As Long) As IMAGE_BASE_RELOCATION
    CopyMemory VarPtr(BaseRelocationFromPtr), pbr, 8
End Function

alguna sugerenica XCryptOR gracias

javi_SS

que compilardor necesito para este code??
tengo el c++, es el que usamos en mi carrera.
me podrian madar un enlace para descargar el killer complidao??

Fran_Al

gracias por el aporte compañero, se agradece bastante

salu2

YST

Cita de: javi_SS en  5 Julio 2009, 13:51 PM
que compilardor necesito para este code??
tengo el c++, es el que usamos en mi carrera.
me podrian madar un enlace para descargar el killer complidao??
Si esttamos en la sección de Visual basic obviamente se necesita Visual baSIC 6 :Xd


Yo le enseñe a Kayser a usar objetos en ASM