Título: [NEW]mAPIObfuscation - Ofuscar Strings de las APIs... [NO CallAPIByName] Publicado por: Karcrack en 31 Agosto 2009, 17:50 pm Código
Ejemplo: Código
Creo que esta bastente claro... pero por si acaso dire que lo que hace es declarar las APIs con las cadenas encriptadas (lo que hace que en el EXE no aparezcan las cadenas...) y luego las desecripta en Ejecucion... Título: Re: [NEW]mAPIObfuscation - Ofuscar Strings de las APIs... [NO CallAPIByName] Publicado por: aaronduran2 en 31 Agosto 2009, 18:09 pm Lo probé cuando lo bajé de HH y no me funciona, no hace nada.
Probé con el ejemplo de URLDownloadToFile y tampoco. ¿Que pasará? EDITO: vale, el problema era que lo ejecuté desde el IDE. Funciona perfecto. Muy buen aporte ;) Título: Re: [NEW]mAPIObfuscation - Ofuscar Strings de las APIs... [NO CallAPIByName] Publicado por: Karcrack en 31 Agosto 2009, 18:13 pm Claro, ese es el problema...
Código: If App.LogMode = 0 Then GoTo OUT Si se ejecutara en el IDE crashearia, porque hay partes de la memoria bloqueada por el IDE... Título: Re: [NEW]mAPIObfuscation - Ofuscar Strings de las APIs... [NO CallAPIByName] Publicado por: LeandroA en 31 Agosto 2009, 20:48 pm Muy bueno Karcrack, que tipo de cifrado utiliza?, estaria bueno que agas un proyecto para facilitar las declaraciones, algo asi como ingresar la declaración normal en un textbox, la encripte, y la ponga en el portapapeles.
Saludos. Título: Re: [NEW]mAPIObfuscation - Ofuscar Strings de las APIs... [NO CallAPIByName] Publicado por: Karcrack en 31 Agosto 2009, 21:42 pm Muy bueno Karcrack, que tipo de cifrado utiliza?, estaria bueno que agas un proyecto para facilitar las declaraciones, algo asi como ingresar la declaración normal en un textbox, la encripte, y la ponga en el portapapeles. Es un XOR &HFFSaludos. Código: Public Function E(ByVal s As String) As String En unos dias saco una aplicacion que cifra todas las APIs de forma automatica (Tipo KPC) Título: Re: [NEW]mAPIObfuscation - Ofuscar Strings de las APIs... [NO CallAPIByName] Publicado por: MCKSys Argentina en 31 Agosto 2009, 22:08 pm Muy bueno!!
Voy a probarlo a ver que tal (Parece que VBDecompiler va a enloquecer ;)) Saludos! Título: Re: [NEW]mAPIObfuscation - Ofuscar Strings de las APIs... [NO CallAPIByName] Publicado por: Karcrack en 31 Agosto 2009, 22:22 pm Muy bueno!! Si te interesa saltarte al VBDecompiler mira este codigo que hice hace poco:Voy a probarlo a ver que tal (Parece que VBDecompiler va a enloquecer ;)) Saludos! Código: http://hackhound.org/forum/index.php?topic=21639 Para evitar que te decompilen con VBDecompiler y otros similares (P32Dasm por ejemplo), simplemente necesitas mover en primer PUSH que hace la aplicacion de VB un BYTE hacia adelante... en caso de que sea necesario tambien cambiar la cadena "VB5!" del ejecutable Saludos :D Título: Re: [NEW]mAPIObfuscation - Ofuscar Strings de las APIs... [NO CallAPIByName] Publicado por: MCKSys Argentina en 31 Agosto 2009, 22:29 pm Je,je,je. Si, si. Ya lo sabia.
Hice un "pequeño" loader que "ofusca" el VBHeader y cambia el punto de entrada de los eventos (Mete unos JMPs a la parte final del EXE y despues vuelve :)) Gracias de todas formas... Saludos! PD: El link no funciona o yo no se para donde agarrar... |