elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Indetectabilizar desde source en vb6...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Indetectabilizar desde source en vb6...  (Leído 10,675 veces)
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #10 en: 4 Septiembre 2010, 02:55 am »

Enviame una copia del stub por Privado y en cuanto pueda lo reviso ;)
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #11 en: 4 Septiembre 2010, 03:40 am »

Bueno, estoy revisando el codigo que me has enviado y te voy a poner aqui un pequeño analisis, para que cualquier persona pueda aprender algo ;)
  • Identa los codigos, no solo dejes lineas vacias... (http://www.vbindent.com/)
  • No tiene ningun sentido renombrar las APIs, esto NO INTERFIERE en el ejecutable compilado
  • Si utilizas Shell() dentro del sub Main() muchos AVs chillaran como nenas...
  • Tampoco es buena idea abrirte a ti mismo dentro del Sub Main()
  • Cuidadito con los bucles infinitos, si el ordenador no tiene acceso a internet tu aplicacion cae un bucle infinito que se llevará todo el procesador... (DoEvents)
  • cifra LAS CADENAS! No puedes dejar por ahi URLs sin mas y mucho menos rutas del registro...

Mañana te envio un STUB Fud, ahora me voy a dormir, chao! ;)
En línea

Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #12 en: 4 Septiembre 2010, 04:30 am »

Ma! sos el mejor jajaja, muy buena la clase q me acabas de dar xD eso del bucle lo tendria q saber, lo se a eso de Doevents pero lo q pasa q este downloader lo hice hace un tiempo ya y recien ahora estoy por terminar de leer un tutorial del guille para saber todo lo basico, y ahora se muchas cosas q no sabia cuando hice el downloader.
Pero aprendere cuando me des el stub fud xD porfavor eliminalo luego y no cambies el nombre del registro ni de los archivos q sino desp no se donde se guarda xD

GRACIAS!!!!!

pd: el stub fud por privado claro.. xD
En línea

ApOkAlizE

Desconectado Desconectado

Mensajes: 150


¿sabes lo que vales? ¡consigue lo que te mereces!


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #13 en: 13 Septiembre 2010, 00:51 am »

No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:

static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y

se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.


ApOkAlizE
En línea

Los virus informaticos son como las personas, hacen lo posible para destruir y hacen lo impossible para no ser destruidos... - ApOkAlizE
skapunky
Electronik Engineer &
Colaborador
***
Desconectado Desconectado

Mensajes: 3.667


www.killtrojan.net


Ver Perfil WWW
Re: Indetectabilizar desde source en vb6...
« Respuesta #14 en: 13 Septiembre 2010, 01:00 am »

No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:

static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y

se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.


ApOkAlizE

Es es justamente lo que nunca nunca se debe hacer al hacer un programa, si haces eso, si dentro de 4 meses quieres reutilizarlo/mejorarlo o lo que quieras, no tendras ni puñetera idea de como funcionava el codigo.

La programación requiere orden y rendimiento entre otras cosas.
En línea

Killtrojan Syslog v1.44: ENTRAR
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #15 en: 13 Septiembre 2010, 13:33 pm »

Codificar o no codificar... he ahi la cuestion...
En línea

fary
Moderador
***
Desconectado Desconectado

Mensajes: 1.075



Ver Perfil WWW
Re: Indetectabilizar desde source en vb6...
« Respuesta #16 en: 13 Septiembre 2010, 15:15 pm »

Lo mejor seria que lo sacaras una vez que lo tienes ya compilador usando Dsplit, Xor...

Asi lo ago yo y que quedan FUD!

salu2!
En línea

Un byte a la izquierda.
Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Indetectabilizar desde source en vb6...
« Respuesta #17 en: 13 Septiembre 2010, 18:11 pm »

No entiendo que te pasa si el troyano lo as creado tu des de 0 no deberia detectarte nada el antivirus, a mi no me detecta nada y no camuflo mis troyanos ni nada, sino usa mi tecnica, por ejemplo si tienes que poner:
Kill"C:\Archivos de programa\Programa1.exe"
si el AV te detecta esta linea por ejemplo mi idea es hacer lo siguiente:

static x as string
static y as string
static z as string
x="Kill" & " " & chr(34) & "C:\Archivos de programa"
y="\" & "Programa1.exe" & chr(34)
z=x & y

se que es un royo,largo,pesado,dificil de no cometer errores.... ahora bien estoy seguro de que aunque el codigo este tan raro solo signifique Kill"C:\archivos de programa\programa1.exe" el AV no le da importancia a este code, pruevalo veras como te funciona.


ApOkAlizE

Es es justamente lo que nunca nunca se debe hacer al hacer un programa, si haces eso, si dentro de 4 meses quieres reutilizarlo/mejorarlo o lo que quieras, no tendras ni puñetera idea de como funcionava el codigo.

La programación requiere orden y rendimiento entre otras cosas.

Bueno, lo q dice el esta bien, yo hago eso Apokalize, pero cuandos los avs detectan el api q usas haces eso cuando llamas la api? xD
Aunque digas q te va bien, me alegro, yo hago lo q dices y muchas cosas mas y aveces siguen quedando, pero gracias.

Y lo q decis skapunky te lo contesto diciendote q guardo la copia del orginal sin hacerle esas modificaciones para dejarlo fud, entonces es compararlo y listo.


Lo mejor seria que lo sacaras una vez que lo tienes ya compilador usando Dsplit, Xor...

Asi lo ago yo y que quedan FUD!

salu2!

Si obvio, podria modear un crypter y no preocuparme mas, pero no es lo q quiero ya q pienso q si lo hago fud desde el source me va a durar mas q hacer una mod en el stub ya compilado

En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[source] Numeros Aleatorio desde X a Y con excepciones.
Programación Visual Basic
BlackZeroX 3 4,206 Último mensaje 27 Mayo 2011, 04:55 am
por BlackZeroX
¿Leer variable desde RAM? (C# - con source obtenido desde Reflector) « 1 2 »
Ingeniería Inversa
Shout 12 6,981 Último mensaje 15 Agosto 2013, 05:57 am
por Novlucker
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines