Bueno,, luego de unas pares de horas buscando como hacer para llamar a las apis dinamicamente, no he podido siquiera encontrar mucha info..
Esta el manual de Karcrack pero la verdad no logro captar el mecanismo.. Si pudiera alguien explicar le estaria muy agradecido!!

Bien,, buen consejo.. Voy a buscar info para hacer tal cosa en asm. Pero,, de casualidad podrias explicarme mas o menos como es la cosa? Porque la verdad, he realizado algun programita similar al que quiero hacer ahora, pero en vb y alguno mas sencillo en c++, pero en asm ( a pesar de que puede ser muy parecido la estructura quizas con asm ) nunca cargue dinamicamente las apis  
Las declaraba y listo..

Gracias!!!!

EDITADO:


Impeca,, ya tengo para empezar.. jajaja

Gracias KarcracK

Impecable! memfill do the hard work!!


Exacto.. y yo preciso el buffer en un MessageBox.. siempre me tira el buffer con la mayor cantidad de bytes guardados..

Es Masm eso ? Podrias probar con atodw y dwtoa

Buenas amigos Foreros!! Espero anden bien

Les cuento.. Estoy desarrollando un pequeño troyano en asm, con funciones basicas,, lo justo y necesario.. Pero la cosa se esta complicando con los antivirus..
Yo tengo una tecnica para ir haciendo estas cosas.. voy creando partes del codigo y las voy probando en, por ejemplo, Novirusthanks... Bien, la cosa es que ya tengo algunas cosas "funcionando", por ejemplo, que la aplicacion se autocopie en el disco duro.. (deteccion por heuristica), tambien logre escribir en el registro de windows, para que se autoinicie.. (deteccion por virus), y asi la lista sigue un poco mas,, por ejemplo al usar la API getcomputername..

Al parecer,, todo lo basico que un malware debe hacer, es detectado por uno o por otro antivirus..
He leido algunos hilos, foros, wikipedia, etc.. de cosas asi como el polimorfismo, encriptacion.. etc, etc

De estas tecnicas la unica que podria manejar (por ahora quizas) es la encriptacion..

Alguien tiene alguna idea de como se podria evadir un poco mejor ( sin llegar al extremo del polimorfismo ) a los AV ? Y de ser posible algun ejemplo practico, un pseudocode o idea teorica.. todo sirve..
Muchas gracias por leer toda esta maza que acabo de escribir!! jeje

Saludos!

El gusano de rob !! Lo copie, lo compile y no lo detecto el kaspersky   

Jajajaja justo cuando estaba para responder, el foro me sugirio que mirara una nueva  respuesta...

Recien pruebo esa opcion de MCK y creo que si,, digo creo porque: O limpia el primer byte, o no lo remplaza.. la cadena queda igual.. Probablemente tenga que medir la longitud de la cadena y llenarla con ceros, si.. o al menos eso deberia funcionar..

Hola!! Como andan ?
Bueno,, la consulta es facil hoy.. resulta que tengo un problema al limpiar una variable llamada buffer, la cual se modifica constantemente cuando llega un dato por una conexion con socket.. aca dejo el code y el problema detallado.

.data?

buffer      db 512 dup(?)       ;Bufer para guardar datos recibidos

Eso en la sección .data?, luego en la sección .code:

Recv:
invoke recv, sock, addr buffer, sizeof buffer, 0
   
cmp sock, 0
je EMsg
   
EMsg:
invoke MessageBox, 0, addr buffer, addr Titulo, MB_OK
jmp Recv

El problema es que el "buffer" siempre queda cargado con la mayor cantidad de bytes que se le hayan pasado, por ejemplo:

si cargo buffer con "Hola", y luego cargo buffer con "J" el buffer queda asi: "Jola"

Ya probe con: mov buffer, 0 pero no da resultado...

Tendria que recorrer el buffer byte por byte y si es <> de 0 borrarlo ?? Es esa la solucion ?

Desde ya muchas gracias !!

Todo sirve cpu.. tengo un largo camino por recorrer y aprender..
Voy a estar haciendo alguna que otra consulta cada tanto, quizas mas en el foro de ASM, pero por aca alguna duda voy a plantear, casi seguro...

Y con el tiempo ir publicando alguna parte del codigo muy puntual, me gustaria que el code quede indetectado por algun tiempo

Gracias!

Genial! Algo asi es lo que esperaba escuchar!
Justamente lo que pretendo es aprender, por eso decidi empezar en asm con un proyecto de este tipo,, porque asi fue como aprendi mas en Vb y en C++. Jeje
El PoisonIvy es aquel troyano que tiene como 9 versiones ?? ( Exagerando.. creo jaja )
Debe haber sido muy bueno.. Con respecto a los AV ahora me di una pasada por NoVirusThanks para probar el poco codigo que llevo echo:

*Conexion con winsock
*Una llamada a una api (GetUserName)

Y 0 Av detection jajaja voy bien...

Bueno, Un saludo y gracias!