Título: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Karcrack en 23 Julio 2010, 20:58 pm Bueno, esta es la version mas corta que encontrareis del famoso RunPE >:D :silbar:
Código
Ejemplo de uso: Código
Esta un poco desordenado, no tiene comentarios, he eliminado las estructuras, utiliza ASM, hashes... bastante follon para entenderlo sin saber nada de los RunPE :xD :xD Cualquier duda preguntad ;) Saludos ::) Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: BlackZeroX en 23 Julio 2010, 22:45 pm Tanto en P-Code... Como Nativo... AntiVir 8.2.4.26 2010.07.23 TR/Dropper.Gen me voy a instalar un Avira, ya qué la situación se va a poner de nuevo fea O.O" :)... Dulces Lunas!¡. Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Karcrack en 24 Julio 2010, 01:41 am Tanto en P-Code... Como Nativo... AntiVir 8.2.4.26 2010.07.23 TR/Dropper.Gen me voy a instalar un Avira, ya qué la situación se va a poner de nuevo fea O.O" :)... Dulces Lunas!¡. Avira Sucks... si teneis la opcion, NO LO USEIS Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: LeandroA en 24 Julio 2010, 11:32 am Avira Sucks... si teneis la opcion, NO LO USEIS Es una poronga Muy bueno el code Karcrack Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Elemental Code en 24 Julio 2010, 22:26 pm Genial el code.
Ojala lo entendiera :-( :huh: :-X :-\ PD: Avira es el unico que detecto mi stealer con el codigo de Cobein. Me parece que es re paranoico porque lo que detectaba era la funcion para mandar mails a gmail y no el modulo passdump >.< Ya desvie el tema demasiado. Buen code Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Pure Ice en 25 Julio 2010, 00:13 am Tanto en P-Code... Como Nativo... AntiVir 8.2.4.26 2010.07.23 TR/Dropper.Gen me voy a instalar un Avira, ya qué la situación se va a poner de nuevo fea O.O" :)... Dulces Lunas!¡. Avira Sucks... si teneis la opcion, NO LO USEIS LoL? a sí ? = | no lo sabía... , runpe FUD , sin api's.. omg omg.. , a ver donde nos meten las firmas ahora xD, seguro que el base 0 ese meten 1 en breve.. Gracias Karcrack ;D Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: BlackZeroX en 25 Julio 2010, 01:31 am Si usa APIs ¬¬", aun qué solo sea Una pero de que usa usa!¡. Posiblemente se la tome ya enserió el Avira y meta una en la declaración API CallWindowProcW Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Karcrack en 25 Julio 2010, 02:53 am Si usa APIs ¬¬", aun qué solo sea Una pero de que usa usa!¡. Posiblemente se la tome ya enserió el Avira y meta una en la declaración API CallWindowProcW Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: BlackZeroX en 25 Julio 2010, 05:47 am .
Avisas por qué el día qué sueltes eso jura qué me instalo 2 o mas AV... entre ellos Avira ( Aun que no le guste a nadie!¡. ) Dulces Lunas!¡. Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: cobein en 25 Julio 2010, 06:28 am Hay otra manera de hacer esto, se llama link spoofing y se puede compilar con ASM inline o cualquier otra cosa, pero obviamente requiere interceptar la llamada al linker y reemplazar el code en vb por asm.
Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Karcrack en 25 Julio 2010, 12:27 pm Hay otra manera de hacer esto, se llama link spoofing y se puede compilar con ASM inline o cualquier otra cosa, pero obviamente requiere interceptar la llamada al linker y reemplazar el code en vb por asm. Asi es como trabaja el ThunderVB por ejemplo, modifica los .obj antes de su linkeo. Estuve investigando, pero no me gusta para compartir codigos... ya que cada persona que quiera probarlo tendria que modificar su VB6...Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Pure Ice en 25 Julio 2010, 13:17 pm Si usa APIs ¬¬", aun qué solo sea Una pero de que usa usa!¡. Posiblemente se la tome ya enserió el Avira y meta una en la declaración API CallWindowProcW Cierto cierto que no la ví, igual esa API no es detectada ( si no recuerdo mal ) , y puedes encryptar lo de USER32 para que no se vea.. :-X Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Otaku=) en 25 Julio 2010, 18:47 pm Entonce si es por el Sub Main() que me recomienda . para cambiar esa forma de declarar
Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: blazecode en 12 Agosto 2010, 00:52 am for any reason this runpe doesnt work for me..
i call it like TheByte() = StrConv(Datas(3), vbFromUnicode) TheByte2() = StrConv(Datas(4), vbFromUnicode) Call RunPE(TheByte, sPath) spath is the inject path... the crypted file doesnt start.. cpu activity on 99% :( thx anyway for your hard work! Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Karcrack en 12 Agosto 2010, 01:26 am It works perfectly, so check what are you trying to run... Make sure it's a valid PE and check wether works properly ...
Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Miseryk en 12 Agosto 2010, 13:08 pm It works perfectly, so check what are you trying to run... Make sure it's a valid PE and check wether works properly ... Hola, para que sirve exactamente este codigo? Disculpen mi ignorancia. Desde ya muchas gracias. Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Karcrack en 18 Agosto 2010, 21:34 pm . Ya estas avisado, con Zombie_AddRef@MSVBVM60 puedo llamar a cualquier puntero usando funciones nativas del VB6 ::)Avisas por qué el día qué sueltes eso jura qué me instalo 2 o mas AV... entre ellos Avira ( Aun que no le guste a nadie!¡. ) Dulces Lunas!¡. Código: http://foro.elhacker.net/programacion_visual_basic/vb6src_mzombieinvoke_llama_apis_sin_declararlas-t301834.0.html Ves instalando AVs y reza a tu[s] dios[es] :xD Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: BlackZeroX en 18 Agosto 2010, 21:52 pm .
.Lee mi firma ¬¬"... No habra tanto rollo... solo hay que hacerle un hook a esa api y denegar TODO lo que pase por hay, cuando ejecute algun EXE... Infierno Lunar!¡. Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: Karcrack en 18 Agosto 2010, 22:24 pm . .Lee mi firma ¬¬"... No habra tanto rollo... solo hay que hacerle un hook a esa api y denegar TODO lo que pase por hay, cuando ejecute algun EXE... Infierno Lunar!¡. Si hookeas ese API y lo deniegas TODO, todas las aplicaciones de VB que utilicen classes se iran a la ***** :laugh:, se puede comprobar facilmente si la llamada es legitima... pero mejor me callo... nunca se sabe si hay alguien de Avira cotilleando por aqui :laugh: :laugh: Título: Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) Publicado por: BlackZeroX en 18 Agosto 2010, 22:48 pm no te procupes solo seria un hook temporal xP... solo para seguridad nada permanente!¡. Dulces Luans!¡. |