Tema destacado: ¡Aprende hacking con práctica! -  arZone, el wargame de elhacker.net
 Autor
|
Tema: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes (Leído 4,923 veces)
|
|
Karcrack
|
Bueno, me han comentado que DllFunctionCall y __vbaCopyBytes es detectado por el paranoico de Avira... asi que aqui esta el TLB que debe hacer indetectable la llamada a estas APIs  http://www.box.net/shared/58sikxl3nu  Para gastarlo? Pues eliminar la declaracion de las APIs del codigo en VB y agregar el TLB a la lista de referencias: Proyecto->Referencias... Saludos |
|
|
|
« Última modificación: 24 Marzo 2010, 00:45 por Karcrack »
|
En línea
|
|
|
|
BlackZeroX (Astaroth)
Wiki
 Conectado
Mensajes: 2.829
I'Love...!¡.
|
mmm pensaba que era el exe del PowerVB Type Library Editor mmm °°"
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
mmm pensaba que era el exe del PowerVB Type Library Editor mmm °°"
No, es el .TLB con la declaracion de "__vbaCopyBytes" y "DllFunctionCall" Si quieres el PowerVB Type Library Editor aqui lo tienes: http://www.box.net/shared/tsn9ezoyc1 Sangrientas lunas  
|
|
|
|
|
En línea
|
|
|
|
Terabytes
 Desconectado
Mensajes: 23
|
mmm pensaba que era el exe del PowerVB Type Library Editor mmm °°"
No, es el .TLB con la declaracion de "__vbaCopyBytes" y "DllFunctionCall" Si quieres el PowerVB Type Library Editor aqui lo tienes: http://www.box.net/shared/tsn9ezoyc1 Sangrientas lunas Exelente gracias por el PowerVB Type Library Editor, lo estuve buscando en mayo  cuando salio el tuto de cobein. ahora si podre añadir las apis a VB6.DLL 
|
|
|
|
|
En línea
|
|
|
|
|
|
|
Karcrack
|
Debuggea a ver... yo he tenido hoy mismo un problema similar, resulta que en la parte en la que se copian las secciones al nuevo proceso usando __vbaCopyBytes para leer el IMAGE_SECTION_HEADER hay un pequeño problema de punteros al hacerlo con el TLB que no he conseguido arreglar.... Para solucionarlo en ese parte he usado RtlMoveMemory envez de __vbaCopyBytes... No creo que haya forma de arreglar eso... Parece ser algo interno del VB...
|
|
|
|
|
En línea
|
|
|
|
tr1n1t1
Desconectado
Mensajes: 6
|
Same here, project compile without problems but when running it says "Project1 stopped working" in Vista
|
|
|
|
|
En línea
|
|
|
|
oijkn
Desconectado
Mensajes: 6
|
Hola Karcrack gracias para compartir tu TLB ya que en advancevb.com.ar he pedido ayuda ^^ aquí es mas fácil para mi porque entiendo mejor el español bueno aparte esto quería saber si tienes un nuevo RunPE o otro remedio en algunos cajones ^^ Tengo muchísimo respecto por ti y tu trabajo que es de p**a madre ! Gracias para ayudarme si no te molesta mucho  Oijkn. |
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
Hola Karcrack gracias para compartir tu TLB ya que en advancevb.com.ar he pedido ayuda ^^ aquí es mas fácil para mi porque entiendo mejor el español bueno aparte esto quería saber si tienes un nuevo RunPE o otro remedio en algunos cajones ^^ Tengo muchísimo respecto por ti y tu trabajo que es de p**a madre ! Gracias para ayudarme si no te molesta mucho Oijkn. Gracias a ti por el apoyo, de todas formas este tipo de cosas por MP Y tranquilo, tengo muchas cositas guardadas A ver si esta semana saco el modulo que tengo para llamar a las APIs por HASH  Saludos
|
|
|
|
|
En línea
|
|
|
|
oijkn
Desconectado
Mensajes: 6
|
Vale perdona por el fallo ^^ Esto no me estreñía amigo, seguro que en tus cajones tienes herramienta buenas ! Bueno voy esperando tu modulo a ver si puedo pasar las detecciones de esta dos API.... Saludos amigo |
|
|
|
|
En línea
|
|
|
|
tr1n1t1
Desconectado
Mensajes: 6
|
Para solucionarlo en ese parte he usado RtlMoveMemory envez de __vbaCopyBytes...
No creo que haya forma de arreglar eso... Parece ser algo interno del VB...
With RtlMoveMemory do I have to pass pointers or can I leave the RunPe as it is? Thanks for your work Karcrack
|
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
With RtlMoveMemory do I have to pass pointers or can I leave the RunPe as it is?
Thanks for your work Karcrack
RtlMoveMemory isn't in this TLB, anyway if you add it, remember to do it as ByRef, then you won't need to change the code.
|
|
|
|
|
En línea
|
|
|
|
Pure Ice
Desconectado
Mensajes: 12
|
Duda, haber si me a quedado claro  : Me estás diciendo, que modificando la TLB puedo modificar esta API: Private Declare Sub CopyBytes Lib "MSVBVM60.DLL" Alias "__vbaCopyBytes" (ByVal Size As Long, Dest As Any, Source As Any) A esto otro por ejemplo: Private Declare Sub CopyBytes Lib "MSVBVM60.DLL" Alias "Loqueyoquiera" (ByVal Size As Long, Dest As Any, Source As Any) Es esto así ? |
|
|
|
|
En línea
|
|
|
|
|
Karcrack
|
No, no lo has entendido...
Cambias la forma en que queda el API en el ejecutable...En vez de estar como de costumbre lo hace VB las añade en la IAT...
|
|
|
|
|
En línea
|
|
|
|
Pure Ice
Desconectado
Mensajes: 12
|
No, no lo has entendido...
Cambias la forma en que queda el API en el ejecutable...En vez de estar como de costumbre lo hace VB las añade en la IAT...
Es decir, tu añades la TLB , y en el source la dejas tal cual, es decir la api de costumbre. Pero, en HEX por ejemplo ya no la encontrarás así, sino que será como tu lo hallas puesto en la TLB. Ahora sí ? PD: Gracias
|
|
|
|
|
En línea
|
|
|
|
|
 |
