elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  Generic Sever Editor Class [SRC]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] Ir Abajo Respuesta Imprimir
Autor Tema: Generic Sever Editor Class [SRC]  (Leído 8,509 veces)
demoniox12

Desconectado Desconectado

Mensajes: 204


El conocimiento es poder


Ver Perfil WWW
Re: Generic Sever Editor Class [SRC]
« Respuesta #20 en: 23 Septiembre 2008, 00:21 am »

A ver, posiblemente sea menos codigo hacer stub/marca/archivo o app/marca/datos pero eso no es flexible, si queres agregar mas datos tenes que modificar el codigo, de esta manera podes poner cuantos exe quieras y cuanta data quieras sin necesidad de hacer ningun cambio en el modulo. Por otra parte ese codigo lo hice en 5 minutos asi que se puede optimizar un monton para reducirlo y al final de cuentas el propertybag hace lo mismo que haces vos manualmente.

@demoniox12 seguramente el AV detecta lo que este pegado porque esta sin cifrar o encryptar, por eso mismo comente en el codigo las 2 secciones donde se puede agregar un codigo para cifrar o cifrar los datos.

hmm no lo creo.. ya que encripte el notepad de windows y lo detectan los antivirus.. o sea es asi.. el stub solo me lo detectan 2 antivirus.. el stub + marca + file cifrado me lo detectan 4.. al igual que el stub + ladata de orioertybag me lo detectan los 4 y el mismo nombre de deteccion.. asi que sospecho que es por agregar informacion adicional...

salu2!


En línea

By Demoniox
cobein


Desconectado Desconectado

Mensajes: 759



Ver Perfil WWW
Re: Generic Sever Editor Class [SRC]
« Respuesta #21 en: 23 Septiembre 2008, 01:43 am »

Entonces es como digo, el propertybag no tiene nada que ver con AV, el tema es que el stub y el metodo de encripcion no son FUD.


En línea

http://www.advancevb.com.ar
Más Argentino que el morcipan
Aguante el Uvita tinto, Tigre, Ford y seba123neo
Karcrack es un capo.
F3B14N

Desconectado Desconectado

Mensajes: 47


Ver Perfil
Re: Generic Sever Editor Class [SRC]
« Respuesta #22 en: 13 Julio 2009, 17:28 pm »

Entonces es como digo, el propertybag no tiene nada que ver con AV, el tema es que el stub y el metodo de encripcion no son FUD.

El problema no es del metodo de encriptacion ni del stub, al menos con avira.
Estuve haciendo un par de pruebas, y avira detecta si o si un archivo, si este
tiene eof en gran cantidad.
Al hacerlo con textos "cortos" (ej: "aaaaaaaaaaaaaa") no hay problema, pero si lo
hay cuando se agregan textos "largos" (ej: string(20000, "b"))

Lo mismo sucede con el "metodo" recursos:

Citar
Option Explicit

Private Declare Function BeginUpdateResource Lib "kernel32" Alias "BeginUpdateResourceA" (ByVal pFileName As String, ByVal bDeleteExistingResources As Long) As Long
Private Declare Function UpdateResource Lib "kernel32" Alias "UpdateResourceA" (ByVal hUpdate As Long, ByVal lpType As String, ByVal lpName As Long, ByVal wLanguage As Long, lpData As Any, ByVal cbData As Long) As Long
Private Declare Function EndUpdateResource Lib "kernel32" Alias "EndUpdateResourceA" (ByVal hUpdate As Long, ByVal fDiscard As Long) As Long

Private Function AgregarRecurso(Ruta As String, Datos As String)
Dim hRes As Long, i As Integer
Dim myStr() As Byte, b() As Byte

myStr = StrConv(Datos, vbFromUnicode)
hRes = BeginUpdateResource(Ruta, False)
UpdateResource hRes, "CUSTOM", 101, 0, myStr(0), Len(Datos)
EndUpdateResource hRes, False

End Function

Prueben:
Citar
Call AgregarRecurso("c:\ss.exe", string(20000, "b"))
y veran que tambien es detectado como Dropper.

=============

Exluyendo ese problemita, es exelente aporte  ;-), al menos a mi me sirve bastante para no tener que estar utilizando el metodo "Append" que te hace escribir de mas, a diferencia de este que es muy comodo.

pd: Perdon x revivir el tema  :-X
Saludos  ;D
« Última modificación: 13 Julio 2009, 22:15 pm por F3B14N » En línea

Páginas: 1 2 [3] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines