elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  [TLB][VB6] Indetectar DllFunctionCall y CopyBytes		0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes  (Leído 14,197 veces)
tr1n1t1

Desconectado Desconectado

Mensajes: 6


Ver Perfil
Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes
« Respuesta #10 en: 10 Abril 2010, 20:33 pm »
Cita de: Karcrack en  3 Abril 2010, 01:53 am


Para solucionarlo en ese parte he usado RtlMoveMemory envez de __vbaCopyBytes...

No creo que haya forma de arreglar eso... Parece ser algo interno del VB...

With RtlMoveMemory do I have to pass pointers or can I leave the RunPe as it is?
Thanks for your work Karcrack
En línea
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes
« Respuesta #11 en: 11 Abril 2010, 13:29 pm »
Cita de: tr1n1t1 en 10 Abril 2010, 20:33 pm
With RtlMoveMemory do I have to pass pointers or can I leave the RunPe as it is?
Thanks for your work Karcrack
RtlMoveMemory isn't in this TLB, anyway if you add it, remember to do it as ByRef, then you won't need to change the code.
En línea
Pure Ice

Desconectado Desconectado

Mensajes: 12


Ver Perfil
Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes
« Respuesta #12 en: 21 Mayo 2010, 18:34 pm »
Duda, haber si me a quedado claro :silbar::

Me estás diciendo, que modificando la TLB puedo modificar esta API:


Private Declare Sub CopyBytes Lib "MSVBVM60.DLL" Alias "__vbaCopyBytes" (ByVal Size As Long, Dest As Any, Source As Any)

A esto otro por ejemplo:

Private Declare Sub CopyBytes Lib "MSVBVM60.DLL" Alias "Loqueyoquiera" (ByVal Size As Long, Dest As Any, Source As Any)

Es esto así ?
En línea
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes
« Respuesta #13 en: 21 Mayo 2010, 21:17 pm »
No, no lo has entendido...

Cambias la forma en que queda el API en el ejecutable...En vez de estar como de costumbre lo hace VB las añade en la IAT...
En línea
Pure Ice

Desconectado Desconectado

Mensajes: 12


Ver Perfil
Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes
« Respuesta #14 en: 24 Mayo 2010, 08:23 am »
Cita de: Karcrack en 21 Mayo 2010, 21:17 pm
No, no lo has entendido...

Cambias la forma en que queda el API en el ejecutable...En vez de estar como de costumbre lo hace VB las añade en la IAT...


Es decir, tu añades la TLB , y en el source la dejas tal cual, es decir la api de
costumbre. Pero, en HEX por ejemplo ya no la encontrarás así, sino que será
como tu lo hallas puesto en la TLB.

Ahora sí ?


PD: Gracias  ;D
En línea
common26

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes
« Respuesta #15 en: 20 Junio 2010, 20:06 pm »
Alhuien a logrado hacer funcionar Runpe con TLB = copybytes???

Esta es la parte peluda:

For i = 0 To tIMAGE_NT_HEADERS.FileHeader.NumberOfSections - 1

            Copybytes tIMAGE_SECTION_HEADER, bvBuff(tIMAGE_DOS_HEADER.e_lfanew + SIZE_NT_HEADERS + SIZE_IMAGE_SECTION_HEADER * i), Len(tIMAGE_SECTION_HEADER)

            Invoke lMod, tPROCESS_INFORMATION.hProcess, .ImageBase + tIMAGE_SECTION_HEADER.VirtualAddress, VarPtr(bvBuff(tIMAGE_SECTION_HEADER.PointerToRawData)), tIMAGE_SECTION_HEADER.SizeOfRawData, 0

Next i

Use mezcla de copybtes y copymem y nada :(

Ayuda!!!!
En línea
Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes
« Respuesta #16 en: 20 Junio 2010, 21:43 pm »
Hay un problema con VB6... por lo visto no funciona correctamente con estructuras y APIs definidas en TLB, a ver si durante esta semana saco tiempo y pongo la solucion, simplemente seria sacar el puntero correctamente usando alguna API :P

Saludos :D
En línea
common26

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes
« Respuesta #17 en: 22 Junio 2010, 20:06 pm »
Cita de: Karcrack en 20 Junio 2010, 21:43 pm
Hay un problema con VB6... por lo visto no funciona correctamente con estructuras y APIs definidas en TLB, a ver si durante esta semana saco tiempo y pongo la solucion, simplemente seria sacar el puntero correctamente usando alguna API :P

Saludos :D

Ojala puedas... ando encuero con ese API jodiendo :D

Gracias de antemano!!!

<cmm>
En línea
Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Ayuda] Stub.dll Indetectar
Dudas Generales 		NyxKazuya 3 5,628 Último mensaje 2 Marzo 2011, 06:26 am
por SuperDraco
Indetectar archivo .jar?
Java 		Sapote 0 1,954 Último mensaje 8 Abril 2011, 08:28 am
por Sapote
como Indetectar .exe?
Análisis y Diseño de Malware 		sircam666 6 5,827 Último mensaje 5 Septiembre 2011, 04:51 am
por bitorkos
Duda indetectar troyano
Dudas Generales 		irivator 1 3,590 Último mensaje 15 Agosto 2011, 22:38 pm
por WHK
Indetectar .jar
Java 		lucasluks1004 2 3,442 Último mensaje 8 Septiembre 2011, 00:00 am
por lucasluks1004
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines