Foro de elhacker.NET

Foro de elhacker.net

Programación

Programación General

.NET (C#, VB.NET, ASP)

Programación Visual Basic (Moderadores: LeandroA, seba123neo)

[m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: 1 [2]

Autor

Tema: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :) (Leído 13,047 veces)

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #10 en: 25 Julio 2010, 12:27 pm »

Cita de: cobein en 25 Julio 2010, 06:28 am

Hay otra manera de hacer esto, se llama link spoofing y se puede compilar con ASM inline o cualquier otra cosa, pero obviamente requiere interceptar la llamada al linker y reemplazar el code en vb por asm.

Asi es como trabaja el ThunderVB por ejemplo, modifica los .obj antes de su linkeo. Estuve investigando, pero no me gusta para compartir codigos... ya que cada persona que quiera probarlo tendria que modificar su VB6...


« Última modificación: 25 Julio 2010, 12:30 pm por Karcrack »	En línea

(PGP ID)

Pure Ice

Desconectado

Mensajes: 12

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #11 en: 25 Julio 2010, 13:17 pm »

Cita de: BlackZeroX en 25 Julio 2010, 01:31 am

Si usa APIs ¬¬", aun qué solo sea Una pero de que usa usa!¡.

Posiblemente se la tome ya enserió el Avira y meta una en la declaración API CallWindowProcW

Cierto cierto que no la ví, igual esa API no es detectada ( si no recuerdo mal ) , y puedes encryptar lo de USER32 para que no se vea.. :-X


	En línea

Otaku=)

Desconectado

Mensajes: 20

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #12 en: 25 Julio 2010, 18:47 pm »

Entonce si es por el Sub Main() que me recomienda . para cambiar esa forma de declarar


	En línea

blazecode

Desconectado

Mensajes: 1

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #13 en: 12 Agosto 2010, 00:52 am »

for any reason this runpe doesnt work for me..

i call it like

TheByte() = StrConv(Datas(3), vbFromUnicode)
TheByte2() = StrConv(Datas(4), vbFromUnicode)

Call RunPE(TheByte, sPath)

spath is the inject path...

the crypted file doesnt start.. cpu activity on 99%

thx anyway for your hard work!


« Última modificación: 12 Agosto 2010, 00:55 am por blazecode »	En línea

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #14 en: 12 Agosto 2010, 01:26 am »

It works perfectly, so check what are you trying to run... Make sure it's a valid PE and check wether works properly ...


	En línea

(PGP ID)

Miseryk

Desconectado

Mensajes: 225

SI.NU.SA U.GU.DE (2NE1 - D-Unit)

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #15 en: 12 Agosto 2010, 13:08 pm »

Cita de: Karcrack en 12 Agosto 2010, 01:26 am

It works perfectly, so check what are you trying to run... Make sure it's a valid PE and check wether works properly ...

Hola, para que sirve exactamente este codigo? Disculpen mi ignorancia.
Desde ya muchas gracias.


	En línea

Can you see it?
The worst is over
The monsters in my head are scared of love
Fallen people listen up! It’s never too late to change our luck
So, don’t let them steal your light
Don’t let them break your stride
There is light on the other side
And you’ll see all the raindrops falling behind
Make it out tonight
it’s a revolution

CL!!!

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #16 en: 18 Agosto 2010, 21:34 pm »

Cita de: BlackZeroX en 25 Julio 2010, 05:47 am

.
Avisas por qué el día qué sueltes eso jura qué me instalo 2 o mas AV... entre ellos Avira ( Aun que no le guste a nadie!¡. )

Dulces Lunas!¡.

Ya estas avisado, con Zombie_AddRef@MSVBVM60 puedo llamar a cualquier puntero usando funciones nativas del VB6 ::)

Código:

http://foro.elhacker.net/programacion_visual_basic/vb6src_mzombieinvoke_llama_apis_sin_declararlas-t301834.0.html

Ves instalando AVs y reza a tu[s] dios[es] :xD


	En línea

(PGP ID)

BlackZeroX

Wiki

Desconectado

Mensajes: 3.158

I'Love...!¡.

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #17 en: 18 Agosto 2010, 21:52 pm »

.
.Lee mi firma ¬¬"...

No habra tanto rollo... solo hay que hacerle un hook a esa api y denegar TODO lo que pase por hay, cuando ejecute algun EXE...

Infierno Lunar!¡.


« Última modificación: 18 Agosto 2010, 21:54 pm por BlackZeroX »	En línea

The Dark Shadow is my passion.

Karcrack

Desconectado

Mensajes: 2.416

Se siente observado ¬¬'

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #18 en: 18 Agosto 2010, 22:24 pm »

Cita de: BlackZeroX en 18 Agosto 2010, 21:52 pm

.
.Lee mi firma ¬¬"...

No habra tanto rollo... solo hay que hacerle un hook a esa api y denegar TODO lo que pase por hay, cuando ejecute algun EXE...

Infierno Lunar!¡.

Si hookeas ese API y lo deniegas TODO, todas las aplicaciones de VB que utilicen classes se iran a la ***** :laugh:

, se puede comprobar facilmente si la llamada es legitima... pero mejor me callo... nunca se sabe si hay alguien de Avira cotilleando por aqui :laugh:


	En línea

(PGP ID)

BlackZeroX

Wiki

Desconectado

Mensajes: 3.158

I'Love...!¡.

Re: [m][VB6-FUD] kRunPE - Ejecuta ejecutables desde ByteArray :)

« Respuesta #19 en: 18 Agosto 2010, 22:48 pm »

no te procupes solo seria un hook temporal xP... solo para seguridad nada permanente!¡.

Dulces Luans!¡.


	En línea

The Dark Shadow is my passion.

Páginas: 1 [2]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	AYUDA: Mi Script (JS), no se ejecuta desde un archivo PHP PHP	NetStorm	4	7,086	19 Febrero 2011, 02:29 am por WHK
	Como se ejecuta virus desde usb Análisis y Diseño de Malware	franfis	3	4,134	8 Julio 2012, 04:23 am por nts94
	Desde que pulse una tecla, que ejecuta dicha acción Programación C/C++	Meta	6	6,245	13 Febrero 2023, 22:50 pm por Meta
	ejecutar .py desde vb.net no se ejecuta Scripting	dian1919	0	3,263	26 Julio 2023, 17:55 pm por dian1919