Foro de elhacker.NET

Foro de elhacker.net

Seguridad Informática

Análisis y Diseño de Malware (Moderador: fary)

Avira 1 - Yo 0

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: 1 2 [3]

Autor

Tema: Avira 1 - Yo 0 (Leído 14,354 veces)

lucasluks1004

Desconectado

Mensajes: 22

Re: Avira 1 - Yo 0

« Respuesta #20 en: 19 Septiembre 2011, 05:20 am »

Siento si te estoy volviendo loco con la preguntas pero no te comprendi bien q pongo

Código:

Private Declare Sub CopyBytes Lib "MSVBVM60" Alias "__vbaCopyBytes" (ByVal Sz As Long, Dest As Any, Source As Any)

en un .tlb hasta ahi no hay problema pero ahora q hago tengo por ejemplo esto :

Código:

  
Call CopyMemory(tIMAGE_DOS_HEADER, bvBuff(0), SIZE_DOS_HEADER)

Call CopyMemory(tIMAGE_NT_HEADERS, bvBuff(tIMAGE_DOS_HEADER.e_lfanew), SIZE_NT_HEADERS)

 CopyMemory tIMAGE_SECTION_HEADER, bvBuff(tIMAGE_DOS_HEADER.e_lfanew + SIZE_NT_HEADERS + SIZE_IMAGE_SECTION_HEADER * i), Len(tIMAGE_SECTION_HEADER)

Lo q hago es transformar esos codigos para usarlos con CopyBytes ,pero al ejecutarlo no hace nda pero tmp me tira ningun error

uso por ejemplo:

Código:

 CopyBytes Len(tIMAGE_SECTION_HEADER), tIMAGE_SECTION_HEADER, bvBuff(tIMAGE_DOS_HEADER.e_lfanew + SIZE_NT_HEADERS + SIZE_IMAGE_SECTION_HEADER * i)

EDITO: si pongo como api en el source:

Código:

Private Declare Sub CopyBytes Lib "MSVBVM60.DLL" Alias "__vbaCopyBytes" (ByVal Size As Long, Dest As Any, Source As Any)

funciona perfecto,,pero si lo uso con .tlb hace q carga algo pero al final no hace nda ,,alguien sabe por q?


« Última modificación: 20 Septiembre 2011, 19:26 pm por lucasluks1004 »	En línea

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

Re: Avira 1 - Yo 0

« Respuesta #21 en: 23 Septiembre 2011, 01:13 am »

Revisa la declaración que tienes en el TLB... Es cosa de los punteros... ByRef/ByVal.. esas cosas... revisa el TLB


	En línea

(PGP ID)

lucasluks1004

Desconectado

Mensajes: 22

Re: Avira 1 - Yo 0

« Respuesta #22 en: 23 Septiembre 2011, 03:29 am »

Gracias Karcrack ,,realmente no se en q me equivoco hice varios .tlb varie el orden en el copybytes y demas y nda siempre me carga pero no sale nda al final si puedes ver mi .tlb te lo agredecia mucho:

http://www.multiupload.com/UQ5IKACWP2

Desde ya gracias !!


	En línea

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

Re: Avira 1 - Yo 0

« Respuesta #23 en: 23 Septiembre 2011, 12:20 pm »

Con ese TLB debería irte perfectamente $:-\$


	En línea

(PGP ID)

lucasluks1004

Desconectado

Mensajes: 22

Re: Avira 1 - Yo 0

« Respuesta #24 en: 24 Septiembre 2011, 02:55 am »

Gracias Karcrack ,,seguire probando entonces me es raro ya q si la declaro en el codigo si anda cuando la borro y cargo el .tlb al ejecutarlo se queda como cargando pero al final no hace nda ,,pero buen seguire probando ..

Realemnte te estoy volviendo loco con preguntas pero tengo una mas jaja ,,al cargar tu modulo en mi stub me queda en el codigo final una importacion de la libreria MSVBVM60.DLL la cual es :"Zombie_AddRef" ,ahora mi pregunta es como puedo cambiar el nombre desde el codigo ya q no puedo sacar esa firma con ningun metodo probe moviendo de lugar la importacion y nda me sigue detectando el avast ahora el lugar nuevo en donde la movi ,,tmb probe hacer con el olly un mov byte ptr para limpiar lo cual me lo deja indetectado pero tmb no me lo deja funcional


	En línea

Páginas: 1 2 [3]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	AVIRA y troyanos Análisis y Diseño de Malware	duna50	3	3,278	2 Septiembre 2010, 21:43 pm por bizco
	RX Crypter y Avira Análisis y Diseño de Malware	duna50	5	4,745	1 Septiembre 2010, 22:43 pm por bizco
	Avira AntiVir Personal 10.0.0.592: el antivirus gratuito Avira se renueva Seguridad	wolfbcn	0	3,412	4 Noviembre 2010, 15:46 pm por wolfbcn
	avast vs avira?? Seguridad	Haker304	1	4,567	21 Junio 2011, 08:49 am por .:UND3R:.
	Avira experimenta en la nube con el nuevo Avira Protection Cloud Noticias	wolfbcn	0	1,413	30 Julio 2012, 21:47 pm por wolfbcn