Para evitar eso usa Threads, si lo ves muy complicado create un dummy que realice esa llamada, de forma independiente (sé que es cutre, pero funcione igual de bien que un thread y un dummy es más sencillo de programar que un thread)

OJO! WARNING

He analizado el ejecutable que ha posteado crauss y he encontrado string's que me hacen pensar sobre un posible 'malware' camufaldo, ejemplo:


Parece ser que este usuario se descargó el source del "MSN Kick" (creado por mí) y del "Cactus Joiner" (creado por mí también). No estoy 100% seguro de que se trate de un fichero inocuo, así que baneo la ulr de descarga para evitar posibles infecciones.

---

Virus Total Report:

Bueno, ya terminé la nueva versión 0.2.1...

Aquí vuelve ||MadAntrax|| con otra de sus aplicaciones...


Foto Ventana Principal



Foto vMap: Offset Pointer



Foto Ventana de .log's



Listado de funcionalidades 0.2.1

[ + ] Función añadida
[ X ] Modificación / Mejora

[ + ] vMap: Offset Pointer (Muestra de forma gráfica que zonas del código se han modificado)
[ + ] Sistema de Log's (Genera y guarda un log con los cambios realizados al fichero, junto con TODOS sus offset's modificados)
[ + ] Virtual EOF (añade hasta 25 Kbytes de código adicional, altera el tamaño)
[ + ] Clonación de Código: Permite modificar el ejecutable con partes del código de otro ejecutable inofensivo
[ + ] Diccionario Estático: Selecciona de forma aleatoria un carácter hexadecimal para modificar el fichero
[ + ] Fecha y Hora del sistema (se usará en futura versión 0.3)
[ + ] Botón 'Detener': para finalizar el proceso de Metamorph en cualquier momento
[ + ] Ayuda Dinámica: Pulsar los botones '?' para ver la ayuda
[ + ] Mejoras en la GUI: Barra de título animada.
[ X ] Mejoradas las estadísticas, ahora son más eficientes
[ X ] Mejoras en el código interno, los bucles y condiciones son ahora más estables y rápidos
[ X ] Se han cambiado los valores hexadecimales de los diccionarios
[ X ] Aumentados y mejorados los niveles de Ofuscación


Descripción

Este sencillo programa permite modificar un archivo ejecutable compilado (binario) para alterar su estructura interna sin modificar el tamaño original (ni aumentan ni disminuyen los bytes finales). No añade ningún Stub ni descomprime código en tiempo de ejecución. Si modificas 2 veces un mismo archivo obtendrás 2 ficheros distintos, nunca obtendrás 2 copias idénticas de un mismo fichero. Ahora como novedad podrás aumentar el tamaño del fichero modificado, añadiendo hasta 25 Kbytes de datos adicionales. También podrás usar partes del código de otra aplicación inofensiva para modificar tu ejecutable, de esta forma tu 'malware' tendrá partes de código de otra aplicación 'normal' y podrás despistar algo mejor a los Antivirus. Se ha añadido el módulo vMap que muestra en pequeñas celdas las zonas de código que se han modificado, permite también generar y guardar un archivo .log con todos los datos y modificaciones hechas al ejecutable, junto con el listado COMPLETO de los offset's modificados. De esta forma podrás utilizar el listado de offset's para modificar manualmente el mismo ejecutable sin necesidad de lanzar el proceso de nuevo o para integrarlo con otras tools.

Para que sirve?

Los AntiVirus detectan un archivo malicioso si encuentran en su interior un patrón de datos que los identifican como tal. Un simple ejemplo:

fichero1

Los AntiVirus almacenan en su fichero de firmas un patrón que les ayuda ha identificar un archivo malicioso (firma), en este ejemplo diremos que es 01110. Bien, si yo consigo detectar cual es el patrón que delata a mi fichero malicioso y consigo cambiarlo un poco obtendré un fichero inocuo al AntiVirus, por ejemplo:

fichero2

Al realizar está técnica pueden ocurrir 3 cosas:

• El fichero final se ha modificado perdiendo su funcionalidad
• El fichero final se ha modificado manteniendo su funcionalidad, pero los AV lo siguen detectando
• El fichero final se ha modificado manteniendo su funcionalidad, y los AV NO lo siguen detectando

Está claro que nosotros queremos llegar al 3º punto, pero no es una tarea sencilla: Hay que ir modificando los Offset's del fichero hasta dejarlo ligeramente modificado, sin "romper" el ejecutable y que el AV no lo detecte. Bien, pues Cactus Metamorph realiza esta tarea de forma automatizada y en pocos segundos.

Como funciona realmente?

Cactus Metamorph coge un fichero compilado (*.exe) y examina TODOS Y CADA UNO de los Offset's del fichero, intentando modificar aquellos que no comprometen la estabilidad ni el funcionamiento del fichero, dejándolo intacto en cuanto a funcionalidad, pero modificado en cuanto a su estructura.

Cabe destacar que Cactus Metamorph no utiliza Stub's, no añade código adicional al ejecutable final, no comprime su estructura ni la expande. No altera su tamaño, deja y respeta hasta el último byte del fichero original (en la versión 0.2 puedes añadir código, modificando los últimos bytes). Después de la metamorfosis, el fichero final cambia por completo, modificando su MD5, CRC32, etc...

Entonces... ¿este programa deja indetectable cualquier fichero o troyano?

No, y lo repito 100 veces más: NO. Cactus Metamorph no asegura que el fichero final vaya a quedar indetectable, es más, si intentas usar este programa con ficheros famosos (Poison Ivy, Bifrost, etc...) no conseguirás nada, pues estos ficheros tienen las firmas en los Offset's vitales del fichero, si se intentan modificar se vuelven inestables y no funcionan.

Este programa te permitirá modificar de forma masiva aquellos Offset's que no son vitales de un ejecutable y dependiendo de cada caso obtendrás:

• Un fichero funciona indetectable
• Un fichero funcional detectado
• Un fichero no funcional (roto)

Dependiendo del nivel de Ofuscación y del Tamaño del Diccionario obtendrás un fichero más o menos modificado. En el cuadro de estadísticas obtendrás un valor llamado Total Offsets que indica cuantos Offset's se han modificado. Cuanto mayor es ese número mejor. Cada vez que uses este programa generará un fichero completamente distinto al anterior con un MD5 distinto. Disfrútalo



Bueno, dejo ya de escribir, espero que haya quedado claro más o menos cómo funciona el programa. Os recomiendo que lo probéis, modifica un fichero y lo subes a virustotal.com para ver si has conseguido "burlar" algún Antivirus.

LINK DE DESCARGA AQUÍ: http://foro.elhacker.net/index.php/topic,192924.msg916552.html#msg916552

---

Bug's detectados en la versión 0.2.1

1) En algunos casos y si el nivel de Ofuscación es muy elevado, el ejecutable final queda inestable o inservible.

Esto no se si podré arreglarlo, si te ocurre esto lo mejor es bajar el nivel de Ofuscación.

2) En algunos casos y si el nivel de Ofuscación es muy elevado el icono del ejecutable final queda modificado o inservible.

Esto no es un problema grave, al fin y al cabo el fichero final es estable y funcional, realmente es lo que importa más

3) La opción de modificar el EOF no preserva los datos del fichero original, esto supone un problema en ficheros parecidos al server del Bifrost

Preservar los datos actuales del EOF original será una función para añadir en la versión 0.3

4) Si intentas encriptas un fichero de tamaño elevado (> 350) el programa se demora muchísimo, llegando a tardar unos 10 minutos.

El programa busca, compara y modifica todos y cada uno de los offset's de un fichero, esto supone un bucle bestial y muchas comparaciones, por eso se demora tanto.

Mira, si quieres una buena forma con la que siempre triumfarás te recomiendo esta:

server.exe -> www.myspace.com

lo que haces es renombrar el *.exe a *.com

El usuario verá el *.com pero se pensará que es una dirección web. Otro ejemplo igual de válido sería:

"MyPhoto81.jpg - www.myspace.com" (sin Las comillas "")

La gente pensará que es una foto con la coletilla del final de la web de publicidad, sin saber que en realidad es un EXE. Lo malo es que el COM no permite cambiar el icono

Bueno, este hilo parece más un chat que un foro, solo hablamos tú y yo, en fin...

CREO que necesitarías ejecutar tu mismo el EXE del GTA con alguna función que te devuelva su PID (CreateProcess creo que lo permite o ShellExecuteA, no lo sé). Una vez con su PID tendrías que buscar la API que te permita mandar pulsaciones de teclado o algo parecido (SendMessageA CREO que lo permite, no se).

Montate una aplicación de prueba con el notepad, que al pulsar CTRL+A te suelte "HOLA QUE TAL" dentro del Bloc de Notas, por ejemplo.

Y cuando tengas esto hecho, reemplaza la función de GetAsyncKeyState por otra de Hook's a nivel de teclado y tendrás lo que se llama: Un programa bien hecho. (y ya si compartes el source te cagas xD)

Saludos!! (a ver si alguien más puede corroborar que las API's que estoy poniendo son las correctas, no me gustaría que buscaras algo que no te sirva)

Saludos!!

Los encriptadores añaden stub también. Si un encriptador no añade un stub dentro del fichero encriptado estaríamos hablando de otro nivel de herramienta más avanzada, como por ejemplo los ofuscadores de código o las máquinas virtuales (como el themida, por ejemplo).

Pero ya te digo yo, que los crypters añaden stub, por ejemplo, el famoso packer UPX añade en el fichero la función de "descomprimir" que es ejecutada en memoria.

La diferencia de un crypter y un joiner es: El joiner descomprime el ejecutable EN DISCO el crypter lo descomprime en una zona de la pila o memoria RAM.

(corrijan me si me equivoco, pero creo que es eso)

Saludos

Ummm, y como mandas las teclas? SendKeys? A lo mejor necesitas sustituir esa función por otra que te permita escoger el PID del proceso al que quieres enviar las teclas, por ejemplo SendMessageA (que alguien me corrija si me equivoco, no estoy del todo seguro)

Sí

Que juego es? Porque si es del tipo MuOnline (que lleva antihack) no podrás usar esa api, tendrás que usar Hooks

No uso ni OCX ni archivos externos, sólo uso el própio exe compilado con todos los controles integrados en código. Bajate el source del CactusJoiner (usa la búsqueda o mira la chincheta de este foro) que ahí encontrarás los controles y las interfaces que uso.

Aunque te aconsejo que los uses como referencia y luego diseña tu própia combinación de colores, para que no se note copiado.

Saludos!!

Este es un ejemplo válido con GetAsyncKeyState, te puede servir pero lo más correcto serían Hook's para evitar el uso de Timers. Cuando llegue a casa te muestro un ejemplo.

Eso no es del todo cierto, podrás probar con cualquier extensión de "ambito ejecutable", por ejemplo:


Te recomiendo el .pif, ya que oculta su extensión por defecto en Windows, ejemplo: server.jpg.pif se ve como: server.jpg (incluso si el user tiene habilitado "mostrar todas las extensiones conocidas")

 

Si, ahora te entendí!

Tienes que hookear el teclado, no es muy complicado pero sería la forma correcta. Si ves que es muy lioso usa entonces la API GetAsyncKeyState (pero con la API no sería la forma más correcta).

Busca e informate sobre Hook's a nivel de teclado (no de kernel, que eso es más avanzado xD)

Saludos!

No quiero ser grotesco, pero yo al menos no te entendí.. ponme un ejemplo anda!

que extraño, de todas formas esos valores son meramente informativos, es curioso que no te coincidan, lo reviso ahora.

No hombre, te dice que perderás los cambios de la configuración (las opciones que marcastes), una vez terminado el proceso los cambios se guardan solos.

Lo estuve mirando, pero el trabajo que requiere programar eso no se compensa con el resultado obtenido, el proceso normal en un archivo de menos de 350kb no supera los 30 segundos, ¿para que vas a querer detener el proceso?

Otra cosa, si detienes el proceso a la mitad, el EXE no se rompe, ya que el programa no guarda los cambios si no llega al 100% del proceso. Si lo detienes antes, el EXE queda intacto y es como si no hubieses hecho nada.

Saludos

---

Nueva versión 0.2.1

- Arreglado los problemas con las estadísticas, ahora SÍ funcionan sin problemas
- Añadido vMap: Offset Pointer, permite ver de forma visual los cambios realizados en el código
- Añadido sistema de Log's, genera un fichero con las opciones seleccionadas, así como un listado completo de los offset's modificados, para usarlos junto con otro programa o guardarlos para un futuro
- Mejoras en el código

EDIT: Más de 100 descargas para la nueva versión 0.2.1 y ningún comentario, eso significa que no hay nada que mejorar?