 Autor
|
Tema: Mi primer troyano en VB6.0 (Leído 22,915 veces)
|
nhaalclkiemr
 Desconectado
Mensajes: 1.678
Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92
|
Gracias por lo de la captura. Por cierto aún poco he avanzado pero estoy en ello. Por cierto, una duda que tengo es de que manera es mejor obtener una información determinada, por ejemplo, para conseguir información del sistema que es mejor, sacarlas de un registro, de un objeto con esa finalidad, de una clase, de una API, de variables de entorno, ...?? Y tambien algunas funciones como hacer ping, escribir en registro o por ejemplo terminar con programas,obtener la lista de tareas,... que es mejor, usar comandos propios de Windows como ping, reg, taskkill, tasklist,... o usar APIs o funcionalidades o clases de VB6.0? Ahora os voy a comentar como voy hacer la Shell remota, me gustaría que me dijerais otra forma o alguna manera de mejorarla: Mi idea es ejecutar esto: comando > %temp%\temp.tmp Después cojería el archivo y lo enviaría y lo borraría Es una manera que me parece un poco primitiva, si sabeis otra mejor decidmelo. Saludos  P.D.: No se si os fijais en que hago mucho uso de los comandos propios de Windows...es que los conoce desde hace mucho (como programador en BATCH) y por eso cuando pienso en algo se me acuerdan estos comandos, creeis que es bueno usarlos?
|
|
|
|
|
En línea
|
| StasFodidoCrypter 1.0 - 100% (old) | | StasFodidoCrypter 2.0 - 85% (deserted) | | Fire AV/FW-Killer - 97% (deserted) | | R-WlanXDecrypter 1.0- 100% |
|
|
|
|
Freeze.
|
Somos 2 buscando el codigo de Shell remota.. Recuerdo haberla visto pero no preste mucha atencion y busco en google (con site:foro.elhacker.net) y nada (ya saben el foro tiene muchos post)
Salu2..!!
|
|
|
|
|
En línea
|
|
|
|
nhaalclkiemr
Desconectado
Mensajes: 1.678
Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92
|
Weno, despues de un tiempo en el que no he tenido internet (si ordenador), aunke poko lo he tocado pork es verano  pues he avanzado algo en mi troyano, tengo casi terminado el FileManager (me está dando trabajo!) y he terminado un dumper de memoria remoto. Me he basado en el código de |MadAntrax| de un memdumper que hay por el foro y lo he hecho remoto, ademas de añadirle alguna cosa mas...para transferir un volcado de memoria no sirve mucho pork puede okupar muchos MB pero para buscar Strings o para transefir unos pocos offset... Ahora os voy a comentar algunos problemas que tengo: -Uno algo grave es que al envíar dos comandos muy seguidos a veces llegan como si fuera uno, me explico mejor: Imaginaros que tengo un boton que envía este comando al server: sock.SendData "[{estoesunejemplo}]"
Y otro que envia este: sock.SendData "[{estoesotroejemplomas}]"
Pues si el cliente pulsa esos dos botones muy seguidos a veces el server recive esto "[{estoesunejemplo}][{estoesotroejemplomas}]"Vamos, que lo que serían dos entradas de datos para el server solo es una, y eso me provoca errores. -Ahora otro problema, pues es que el máximo de datos que recie el control winsock son 8KB, este problema ya lo he solucionado para los archivos (pués utilizo matrices de datos y trato la llegada de datos de manera diferente), pero para strings (k uso para enviar ordenes) pues si son largas me encuentro con este problema. Esto ocurre por ejemplo para enviar el listado de archivos de una carpeta con por ejemplo 1500 archivos, pues al enviar strings con los nombres de archivo se envían más de 8192 bytes, ya que un archivo puede tener nombres muy largos...en resumen, se me divide la cadena en dos y entonces no funciona. -Weno, y ahora unas preguntas...como se usa la clase cJPEG y cJPEGi...es k no se funcionar bien con modulos de clase, en teoría son objetos no?? k los tengo k declarar con "Dim obj As New cJPEG"? Sería algo así? O mejor con "Set"? -Comentaros que para obtener informaciones sobre directorios y archivos utilizo [Dim obj As Object Set obj = CreateObject("Scripting.FileSystemObject")
Weno, k uso el FSO...es buen método?, o es más rápido y/o efectivo usar alguna API? -Sobre la Shell remota aún tengo que mirar, he encontrado esto pero lo tengo que analizar a ver si sirve: http://foro.elhacker.net/index.php/topic,128250.0.html-Sobre el resto aún nada, el edit-server aún no tengo ni idea de como hacerlo (buske el de WarGhost pero no lo encontré), lo de la WebCam tengo que mirar, y el obtener información básica y las bromas, pero eso para después, después de terminar el FileManager voy a ir con el RegEditor. Weno, saludos y a ver si me podeis ayudar, toda la información k me deis es bien agradecida |
|
|
|
|
En línea
|
| StasFodidoCrypter 1.0 - 100% (old) | | StasFodidoCrypter 2.0 - 85% (deserted) | | Fire AV/FW-Killer - 97% (deserted) | | R-WlanXDecrypter 1.0- 100% |
|
|
|
wACtOr
Desconectado
Mensajes: 461
Premio finalista diseño web elhacker.net
|
yo solo te puedo responder al cjpg,. de lo demas ni idea, aunque creo que ami me pasa algo parecido tb. lo del jpg yo lo hago de esta manera, que creoq ue es la correcta(almenos funciona xD) en el formulario declaro: Dim Foto As New Class1 'Class1 es el nombre del module de clase cjpg.
depues en data arrival tengo esto: Case "Screen" Resolucion = vData(1) Foto.SetSamplingFrequencies 2, 2, 2, 2, 2, 2 Foto.Quality = Resolucion 'aqui ajustas la calidad dsd 1 a 100 hasi bajas calidad bajas peso Foto.SampleScreen Foto.SaveFile ("c:\capture.jpg") ws.SendData "tamscreen|" & FileLen("C:\capture.jpg")
la resolucion la mando desde el cliente, pero puedes ajustarla aki si queieres. este es el metodo que uso yo. conn esto solo consiguo un pantallazo de lo que esta haciendo. a ver si encuentro otro modulo para tomar capturas, que era mas rapido que el cjpg(creo, lo lei por aquie hace dias), ya que con el modulo del csocketmaster, la conexsion es lentisima, incluso en local. espero aberte ayudado PD: para el editor de server, te dejo un source que hize siguiendo el manual de warghost. espero que te sirva. http://rapidshare.com/files/45004307/editor-server.rar |
|
|
|
« Última modificación: 25 Julio 2007, 21:01 pm por wACtOr »
|
En línea
|
|
|
|
nhaalclkiemr
Desconectado
Mensajes: 1.678
Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92
|
Gracias, tengo k provarlo ahora mismo voy a hacerlo... Ahh, y por favor si no te es mucha molestia sube el edit-server a megaupload o otro k no sea rapidshare, en rapidshare nunca consigo bajarlo, tengo k esperar más de 120 minutos...  Saludos y gracias |
|
|
|
|
En línea
|
| StasFodidoCrypter 1.0 - 100% (old) | | StasFodidoCrypter 2.0 - 85% (deserted) | | Fire AV/FW-Killer - 97% (deserted) | | R-WlanXDecrypter 1.0- 100% |
|
|
|
|
Freeze.
|
Si tienes ip dinamica y Windos te recomiendo...
ipconfig /renew
ipconfig /release
|
|
|
|
|
En línea
|
|
|
|
wACtOr
Desconectado
Mensajes: 461
Premio finalista diseño web elhacker.net
|
|
|
|
|
|
En línea
|
|
|
|
nhaalclkiemr
Desconectado
Mensajes: 1.678
Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92
|
OK gracias, ya os diré Saludos |
|
|
|
|
En línea
|
| StasFodidoCrypter 1.0 - 100% (old) | | StasFodidoCrypter 2.0 - 85% (deserted) | | Fire AV/FW-Killer - 97% (deserted) | | R-WlanXDecrypter 1.0- 100% |
|
|
|
|
~~
|
Te contesto nhaalclkiemr: Uno algo grave es que al envíar dos comandos muy seguidos a veces llegan como si fuera uno Tienes dos opciones: La primera es poner un sleep, aunke esto keda bastante mal... La mejor opcion es poner un "interruptor" en el server, es decir, poner al final de todo el listado de archivos un par de caracteres especiales, por ejemplo "#~" y que el cliente no pare de meter lo q recibe en la lista de archivos hasta q no lea esos dos caracteres, esto lo puedes hacer con una variable boobleana, de todas formas si no te keda muy claro abajo te dejo un file manager de ejemplo  Sobre el resto aún nada, el edit-server aún no tengo ni idea de como hacerlo Ya deje yo uno completo de ejmplo, mira: http://foro.elhacker.net/index.php/topic,171824.0.htmlY el file manager completo q te comentaba: http://foro.elhacker.net/index.php/topic,170051.0.htmlFijate en lo q hago para no perder datos (lo q te comentaba del interruptor ) 1S4ludo |
|
|
|
|
En línea
|
|
|
|
nhaalclkiemr
Desconectado
Mensajes: 1.678
Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92
|
Weno, la verdad ya había mirado tu FileManager, pero no veo eso k dices tu del interruptor, pero ese tema ya lo tengo solucionado, lo que hago es desactivar los botones asta k el server responda, y para evitar el posible error de que el server responda (por kualkier circustancia) pongo un sleep y en unos segundos si no responde los vuelvo a activar...me parece buena medida Tu edit-server no me funciona y la verdad no tengo idea de como funciona, y aún tengo k mirar el de WacTor k no tuve tiempo, la verdad es k ya he visto varios ejemplos...pero no los entiendo. No entiendo como en un ejecutable puedes modificar funciones, añadir otros y esto...aunke é visto uno k me ha dado una buenas ideas, ese lo k hace es usar un archivo de recursos, entonces los recursos son faciles de modificar y el server lo k hace es cargar los recursos jejeje. Weno, pero esto tampoco es lo esencial, primero a terminar el troyano... Gracias de todas maneras, tendreis noticias...pero esk ahora es verano y tampoco tengo mucho tiempo, normalmente a la noche pero hoy es viernes y mañana sabado asi k jejeje, k son fiestas jejeje  Saludos |
|
|
|
|
En línea
|
| StasFodidoCrypter 1.0 - 100% (old) | | StasFodidoCrypter 2.0 - 85% (deserted) | | Fire AV/FW-Killer - 97% (deserted) | | R-WlanXDecrypter 1.0- 100% |
|
|
|
|
 |
