elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Indetectabilizar desde source en vb6...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Indetectabilizar desde source en vb6...  (Leído 10,004 veces)
Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Indetectabilizar desde source en vb6...
« en: 3 Septiembre 2010, 18:09 pm »

Bueno la cosa es que hice un dowloader y funciona perfecto y me gusta como quedo, pero yo no se modear asique le saque los avs desde el source, con muchas cosas como codigo basura, esconder el api de download entre otras apis que no uso q las meti para meter codigo basura, cambie los .exe haciendo StrReverse y creando variables = e , variable = x , todo asi para crear el .exe luego y cambie todas las variables a nombres rarisimos como dhabwhdbawhd  y todo asi, un asco el code xD.
Y bueno, la cosa es q me queda por sacar el Avira y el Nod32, el Avira me da igual ya q es una *****, dificil de sacar pero no me importa ese, si me importa el nod32.. q mas podria hacer para sacarlo de encima ya q ese mas q nada es el q me importa xD jaja, creo q el problema es q la firma es dura.. la firma del nod32 q detecta es la NewHeur_PE virus .. espero q se pueda sacar xD

A ver q me aconsejan, si me dicen q es lo del runpe o algo de eso, si me pueden explicar bien cual es el runpe ya q no se si tiene runpe o no , el stub del downloader q es lo q estoy indetectabilizando es solo un modulo bas y no tiene NADA MAS asique no se q es lo de runpe q me han dicho q esa firma es por eso.. a ver q dicen ustedes.. nos vemos ;)
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #1 en: 3 Septiembre 2010, 18:27 pm »

Tal vez con el codigo podamos ayudarte ;)
En línea

Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #2 en: 3 Septiembre 2010, 18:46 pm »

Wow, hice bien en venir a este foro, talvez me paso muy seguido, digo por los grandes q hay aca, a vs te conozco de algun tutorial o algo, alguna vez me haz ayudado de seguro ;)

Mira, no quiero pasar el code ya q la cosa es esa xD usarlo para mi nomas,ya lleva mas de 1 mes con el nod32 y avira solamente, si le sacara el nod32 no lo detectarian mas.

Pero conoces la firma esa del nod32? Que se podria hacer?
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #3 en: 3 Septiembre 2010, 18:57 pm »

Pues sin ver el codigo no te puedo decir cual es el problema... pero bueno, te digo que uses uno de mis ultimos Invoke, si es posible hazlo con versiones por Hash, cifra las cadenas, no copies codigo... etc...

Te dejo unos cuantos enlaces:
Código:
http://foro.elhacker.net/empty-t301834.0.html
http://foro.elhacker.net/empty-t290072.0.html
http://foro.elhacker.net/empty-t300432.0.html
http://foro.elhacker.net/empty-t256127.0.html

Saludos ;)
« Última modificación: 3 Septiembre 2010, 19:00 pm por Karcrack » En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Indetectabilizar desde source en vb6...
« Respuesta #4 en: 3 Septiembre 2010, 19:05 pm »

El downloader tiene builder o metes los la url del archivo en el source?

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #5 en: 3 Septiembre 2010, 19:13 pm »

Pues sin ver el codigo no te puedo decir cual es el problema... pero bueno, te digo que uses uno de mis ultimos Invoke, si es posible hazlo con versiones por Hash, cifra las cadenas, no copies codigo... etc...

Te dejo unos cuantos enlaces:
Código:
http://foro.elhacker.net/empty-t301834.0.html
http://foro.elhacker.net/empty-t290072.0.html
http://foro.elhacker.net/empty-t300432.0.html
http://foro.elhacker.net/empty-t256127.0.html

Saludos ;)

Gracias, los leere ahora a ver q tal..

El downloader tiene builder o metes los la url del archivo en el source?

Saludos

Es con builder si, de ahi es q me lo detecta avira, pero no me importa avira, pero nod32 me lo detecta por otra cosa
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #6 en: 3 Septiembre 2010, 19:21 pm »

Es con builder si, de ahi es q me lo detecta avira, pero no me importa avira, pero nod32 me lo detecta por otra cosa
Lo metes en el EOF? (Al final del archivo?)
Tal vez deberias leer algo sobre RT_STRING o RT_VERSION... Y no olvides cifrar... a los AVs no les gusta el "http://" :laugh: :laugh:
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Indetectabilizar desde source en vb6...
« Respuesta #7 en: 3 Septiembre 2010, 19:22 pm »

Si tiene builder lo más probable es que esa firma de Nod32 sea debida a los datos que mete el builder o el código que obtiene esos datos. Los datos están cifrados?

Saludos

Advertencia - mientras estabas escribiendo, una nueva respuesta fue publicada. Probablemente desees revisar tu mensaje.
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513

El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Indetectabilizar desde source en vb6...
« Respuesta #8 en: 3 Septiembre 2010, 19:39 pm »

XXX-Zero-XXX trata poniendo un timer que llame el evento para descargar... eso deberia quitar el Nod32.
En línea

Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #9 en: 4 Septiembre 2010, 02:09 am »

A ver, me hablan como si fuera un experto, soy novato en esto asique suave porfa xD

Gracias por lo q han dicho, me acordare de esas cosas para luego, porq no es eso y tampoco entiendo q me preguntan xD jaja
Eso del builder eso sera el porq el avira lo detecta, pero nod32 mmmm..

Lord R.N.A , quisiera hacer eso pero el stub es un modulo y demoro mucho en pasar todo a un form y da errores porq tengo q declarar bien las variables y todo.. estas seguro q al hacer eso se solucionaria?

Talvez les mando el code por mp les parece? ya q en ustedes si confio, son unos grandes ;)
En línea

Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[source] Numeros Aleatorio desde X a Y con excepciones.
Programación Visual Basic
BlackZeroX 3 3,964 Último mensaje 27 Mayo 2011, 04:55 am
por BlackZeroX
¿Leer variable desde RAM? (C# - con source obtenido desde Reflector) « 1 2 »
Ingeniería Inversa
Shout 12 6,469 Último mensaje 15 Agosto 2013, 05:57 am
por Novlucker
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines