 Autor
|
Tema: Indetectabilizar desde source en vb6... (Leído 10,048 veces)
|
Karcrack
 Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Enviame una copia del stub por Privado y en cuanto pueda lo reviso  |
|
|
|
|
En línea
|
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Bueno, estoy revisando el codigo que me has enviado y te voy a poner aqui un pequeño analisis, para que cualquier persona pueda aprender algo - Identa los codigos, no solo dejes lineas vacias... (http://www.vbindent.com/)
- No tiene ningun sentido renombrar las APIs, esto NO INTERFIERE en el ejecutable compilado
- Si utilizas Shell() dentro del sub Main() muchos AVs chillaran como nenas...
- Tampoco es buena idea abrirte a ti mismo dentro del Sub Main()
- Cuidadito con los bucles infinitos, si el ordenador no tiene acceso a internet tu aplicacion cae un bucle infinito que se llevará todo el procesador... (DoEvents)
- cifra LAS CADENAS! No puedes dejar por ahi URLs sin mas y mucho menos rutas del registro...
Mañana te envio un STUB Fud, ahora me voy a dormir, chao! |
|
|
|
|
En línea
|
|
|
|
Edu
Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
Ma! sos el mejor jajaja, muy buena la clase q me acabas de dar xD eso del bucle lo tendria q saber, lo se a eso de Doevents pero lo q pasa q este downloader lo hice hace un tiempo ya y recien ahora estoy por terminar de leer un tutorial del guille para saber todo lo basico, y ahora se muchas cosas q no sabia cuando hice el downloader.
Pero aprendere cuando me des el stub fud xD porfavor eliminalo luego y no cambies el nombre del registro ni de los archivos q sino desp no se donde se guarda xD
GRACIAS!!!!!
pd: el stub fud por privado claro.. xD
|
|
|
|
|
En línea
|
|
|
|
ApOkAlizE
Desconectado
Mensajes: 150
¿sabes lo que vales? ¡consigue lo que te mereces!
|
No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:
static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y
se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.
ApOkAlizE
|
|
|
|
|
En línea
|
Los virus informaticos son como las personas, hacen lo posible para destruir y hacen lo impossible para no ser destruidos... - ApOkAlizE
|
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:
static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y
se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.
ApOkAlizE
Es es justamente lo que nunca nunca se debe hacer al hacer un programa, si haces eso, si dentro de 4 meses quieres reutilizarlo/mejorarlo o lo que quieras, no tendras ni puñetera idea de como funcionava el codigo. La programación requiere orden y rendimiento entre otras cosas.
|
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
Karcrack
Desconectado
Mensajes: 2.416
Se siente observado ¬¬'
|
Codificar o no codificar... he ahi la cuestion...
|
|
|
|
|
En línea
|
|
|
|
|
fary
|
Lo mejor seria que lo sacaras una vez que lo tienes ya compilador usando Dsplit, Xor...
Asi lo ago yo y que quedan FUD!
salu2!
|
|
|
|
|
En línea
|
Un byte a la izquierda.
|
|
|
Edu
Desconectado
Mensajes: 1.082
Ex XXX-ZERO-XXX
|
No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:
static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y
se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.
ApOkAlizE
Es es justamente lo que nunca nunca se debe hacer al hacer un programa, si haces eso, si dentro de 4 meses quieres reutilizarlo/mejorarlo o lo que quieras, no tendras ni puñetera idea de como funcionava el codigo. La programación requiere orden y rendimiento entre otras cosas. Bueno, lo q dice el esta bien, yo hago eso Apokalize, pero cuandos los avs detectan el api q usas haces eso cuando llamas la api? xD Aunque digas q te va bien, me alegro, yo hago lo q dices y muchas cosas mas y aveces siguen quedando, pero gracias. Y lo q decis skapunky te lo contesto diciendote q guardo la copia del orginal sin hacerle esas modificaciones para dejarlo fud, entonces es compararlo y listo. Lo mejor seria que lo sacaras una vez que lo tienes ya compilador usando Dsplit, Xor...
Asi lo ago yo y que quedan FUD!
salu2!
Si obvio, podria modear un crypter y no preocuparme mas, pero no es lo q quiero ya q pienso q si lo hago fud desde el source me va a durar mas q hacer una mod en el stub ya compilado
|
|
|
|
|
En línea
|
|
|
|
|
 |
