elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (C#, VB.NET, ASP)
| | | |-+  Programación Visual Basic (Moderadores: LeandroA, seba123neo)
| | | | |-+  Melt
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] Ir Abajo Respuesta Imprimir
Autor Tema: Melt  (Leído 9,896 veces)
Chefito

Desconectado Desconectado

Mensajes: 122



Ver Perfil WWW
Re: Melt
« Respuesta #20 en: 1 Febrero 2008, 17:41 pm »

Mmmmm...otros archivos que se puedes destruir a si mismo son los .vbs. Tambien se podria crear un fichero .vbs con el vb6 como ha dicho LeandroA parecido a esto:
Código:
On Error resume next
dim objfso
dim ExisteFichero
set objfso=createobject("Scripting.Filesystemobject")
do
ExisteFichero=objfso.fileexists ("c:\proyecto1.exe")
wscript.sleep 250
if ExisteFichero then objfso.deletefile "c:\proyecto1.exe",true   'Proyecto de vb que ejecuta este script
loop until ExisteFichero=false
objfso.deletefile "c:\fso.vbs"    'El fichero donde esta contenido este codigo.
Esto funciona, comprobado. Se puede meter en la carga o descarga del programa (ejem. form1_load o form1_terminate). Si se mete al principio el proyecto vb se eliminiria aun saliendose de formas raras :) (No he probado ctrl+alt+supr....supongo que será cuestion de qué proceso mata el sistema primero....el del proyecto.exe vb o el archivo WScript.exe (otro problema para la detención por el AV del script), que es el que carga el Script cuando se ejecuta). Se podría hacer también introduciendo en el fichero vbs shell´s llamando al cmd /c erase para que los borrase (No se utilizaria Scripting). Incluso se podria hacer en javascript (.js).
Pero pienso que un .vbs va a alertar a los AV´s a lo bestia....y mas si utilizan filesystemobject.
Se tiene que cargar el archivo .vbs con la api shellexecute.
Saludos.
P.D. Supongo que se podría hacer algo parecido con los bateria no?.....casi no recuerdo nada de ellos, pero creo recordar que se podían utilizar instrucciones como if,goto....e incluso algo de detección de errores no?.


« Última modificación: 1 Febrero 2008, 18:21 pm por Chefito » En línea

Moderador del foro oficial de AutoIt en español: www.AutoIt.es.

Todos tenemos inteligencia, lo malo es que algunos no nos acordamos donde la dejamos guardada ;)
nhaalclkiemr


Desconectado Desconectado

Mensajes: 1.678


Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92


Ver Perfil WWW
Re: Melt
« Respuesta #21 en: 1 Febrero 2008, 20:21 pm »

Los vbs aun son mas cantosos que los BAT :xD :xD

De momento me kedo con el BAT que es lo mas funcional y menos detectable...aunke menos profesional que lo del thread en el explorer...pero si es detectado por los AVs no se...aun asi investigaré para saber como se hace bien...

saludos ;)


En línea

StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%
Tughack


Desconectado Desconectado

Mensajes: 490


Ver Perfil
Re: Melt
« Respuesta #22 en: 8 Febrero 2008, 15:03 pm »

E0N, lo has conseguido hacer desde vb?

Bah, estoy sin ideas, solo lo consigo hacer con delphi. Al usar LoadLibrary y GetProcAddress consigo sacar el address de una API, pero no consigo usarla.

Necesitava un puntero de funcion, y no estoy seguro k se pueda hacer en vb.

lHandle = LoadLibrary("kernel32.dll")
lProc = GetProcAddress(lHandle, "WriteProcessMemory")

Ahora necesitava k el lProc fuera un function pointer para llamar la api con sus parametros.

Alguna idea?
En línea

nhaalclkiemr


Desconectado Desconectado

Mensajes: 1.678


Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92


Ver Perfil WWW
Re: Melt
« Respuesta #23 en: 8 Febrero 2008, 16:54 pm »

No soy muy experto en esto de punteros pero en VB hay tres funciones no documentadas relacionadas con punteros llamadas VarPtr, StrPtr, y ObjPtr

StrPtr pienso que es para Strings, ObjPtr debe ser para objetos y VarPtr para las variables normales...a lo mejor si usas:

VarPtr(lProc) o VarPtr(ByVal lProc)

a ver si te sirve...

Pero weno no se...ya me dirás...

Saludos ;)
En línea

StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%
Tughack


Desconectado Desconectado

Mensajes: 490


Ver Perfil
Re: Melt
« Respuesta #24 en: 8 Febrero 2008, 17:01 pm »

No soy muy experto en esto de punteros pero en VB hay tres funciones no documentadas relacionadas con punteros llamadas VarPtr, StrPtr, y ObjPtr

StrPtr pienso que es para Strings, ObjPtr debe ser para objetos y VarPtr para las variables normales...a lo mejor si usas:

VarPtr(lProc) o VarPtr(ByVal lProc)

a ver si te sirve...

Pero weno no se...ya me dirás...

Saludos ;)

jeje, si, el problema es: Como pasas los parametros de la api?

saludos
En línea

~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Melt
« Respuesta #25 en: 8 Febrero 2008, 17:48 pm »

VB no vale para estas cosas, necesitas algo mas potente, yo lo e hecho en c  :P

Código:
Bah, estoy sin ideas, solo lo consigo hacer con delphi. Al usar LoadLibrary y GetProcAddress consigo sacar el address de una API, pero no consigo usarla.

Aunke la llames con un puntero a funcion te la va a seguir detectando, no es a eso a lo q yo me refiero ;)
En línea

Tughack


Desconectado Desconectado

Mensajes: 490


Ver Perfil
Re: Melt
« Respuesta #26 en: 8 Febrero 2008, 18:01 pm »

VB no vale para estas cosas, necesitas algo mas potente, yo lo e hecho en c  :P

Código:
Bah, estoy sin ideas, solo lo consigo hacer con delphi. Al usar LoadLibrary y GetProcAddress consigo sacar el address de una API, pero no consigo usarla.

Aunke la llames con un puntero a funcion te la va a seguir detectando, no es a eso a lo q yo me refiero ;)

Nah, no se trata de deteccion, solo keria probar esto de cargar una api dinamicamente en vb. Como ejemplo dije WriteProcessMemory pero podria ser kualkier otra.

Y ya me dejiste de k hablavas, o ya no te acuerdas? xD

Saludos
En línea

nhaalclkiemr


Desconectado Desconectado

Mensajes: 1.678


Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92


Ver Perfil WWW
Re: Melt
« Respuesta #27 en: 8 Febrero 2008, 18:25 pm »

Como...si kieres pasar lProc como parametro como tu dices pork no pones VarPtr??

O weno prueva creando una funcion asi:

Código
  1. Private Functoin LongToPoint (ByRef lResul As Long) As Long
  2. LongToPoint = VarPtr(lResul)
  3. End Function

o no se si sería pasando ByVal no estoy seguro...

Código
  1. Private Functoin LongToPoint (ByVal lResul As Long) As Long
  2. LongToPoint = VarPtr(lResul)
  3. End Function

Y después la llamas

resul = APIquesea(parametro1, parametro2, AddressOf LongToPoint)

No se si esta bien lo que digo, seguramente me equivoque en algo...además no se muy bien lo que quieres...

Si te refieres a cargar una API sabiendo su direccion (a lo mejor es eso lo que dices) pienso que en VB no se puede hacer...

Mira aki hai algo de info (al final de todo trata algo sobre las Hidden APIs pero no tengo ni idea de que trata pork no se nada de inglés :xD): http://www.thevbzone.com/secrets.htm

Saludos ;)
« Última modificación: 8 Febrero 2008, 18:27 pm por nhaalclkiemr » En línea

StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%
Tughack


Desconectado Desconectado

Mensajes: 490


Ver Perfil
Re: Melt
« Respuesta #28 en: 8 Febrero 2008, 18:33 pm »

Aver esto en vb esta mal, pero solo para k entiendas:

lHandle = LoadLibrary("kernel32.dll")
lProc = GetProcAddress(lHandle, "WriteProcessMemory")

call lProc(ByVal hProcess As Long, lpBaseAddress As Any, lpBuffer As Any, ByVal nSize As Long, lpNumberOfBytesWritten As Long)

Entiendes? pero el lProc tendria k ser un function pointer.

saludos
En línea

nhaalclkiemr


Desconectado Desconectado

Mensajes: 1.678


Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92


Ver Perfil WWW
Re: Melt
« Respuesta #29 en: 8 Febrero 2008, 23:14 pm »

A vale ahora pienso que te entendí...pues eso en VB pienso que nada :xD

Saludos ;)
En línea

StasFodidoCrypter 1.0 - 100% (old)
StasFodidoCrypter 2.0 - 85% (deserted)
Fire AV/FW-Killer - 97% (deserted)
R-WlanXDecrypter 1.0- 100%
Páginas: 1 2 [3] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[Pregunta 'basica'] Que es Melt?
Análisis y Diseño de Malware
CAR3S? 3 3,649 Último mensaje 15 Abril 2011, 22:34 pm
por CAR3S?
[FUNCION] Autoit MELT
Scripting
79137913 0 2,072 Último mensaje 10 Diciembre 2013, 14:57 pm
por 79137913
[VBS]Perfect Melt
Scripting
xXSCORPIOXx 7 4,029 Último mensaje 21 Marzo 2014, 01:58 am
por 79137913
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines