Autor
|
Tema: [Source] Infección de ejecutables en VB6 (Leído 22,717 veces)
|
nhaalclkiemr
Desconectado
Mensajes: 1.678
Máximo exponente 9DB9F1AEED2FADBDE 997BBE20FEDA92
|
Ahh, en mi maquina virtual tengo el SFC desactivado por lo que si que infecta el cmd.exe y estos archivos...aunke supongo que el explorer.exe y alguno mas no los infectará pork estan en ejecucion... Sobre los recursos empieza y consume casi toda la CPU y lo deje infgectando y cuando termino miré y estaba la advertencia esa que te dije "minimo de memoria virtual"... ¿¿Podrías modificar el codigo fuente con lo de los parámetros y los recursos arreglado?? ¿Y como puedo hacer para infectar solo a un ejecutable determinado que quiera y no a todos los del sistema? Un saludo
|
|
|
En línea
|
StasFodidoCrypter 1.0 - 100% (old) | StasFodidoCrypter 2.0 - 85% (deserted) | Fire AV/FW-Killer - 97% (deserted) | R-WlanXDecrypter 1.0- 100% |
|
|
|
Hendrix
|
Yo estoy haciendo mi metodo....estoy haciendo pruebas de como substituir el entrypoint del programa por el mio eso no va a funcionar. 1º si es en vb olvidate, si aun asi logras escribir alguna rutina que sirva de algo en otros pcs lo tiene crudo ya que si infectas (lo que es una verdadera infeccion) el codigo se escribe de forma distinta a la "normal" no se puede llamar a las funciones tal cual, por ejemplo: MessageBoxA(..................) <---- Esto no funciona a la hora de una infeccion 2º si infectas un ejecutable no tienes que poner tu entrypoint, dependiendo el metodo de infeccion calcularas de una forma o de otra el inicio de tu codigo en el archivo infectado, ese sera tu entrypoint ahora ya que en una infeccion te "desprendes" de tu cabecera. 3º es aconsejable dejar todos los registros y flags como estaban antes de devolver el control al programa original en vb veo esto poco factible. todo esto suponiendo que quieras hacerlo en vb. Lo ago en C... Ya se que VB no da para tanto... 2º si infectas un ejecutable no tienes que poner tu entrypoint, dependiendo el metodo de infeccion calcularas de una forma o de otra el inicio de tu codigo en el archivo infectado, ese sera tu entrypoint ahora ya que en una infeccion te "desprendes" de tu cabecera. Mi intencion era modificar el EntryPoint del archivo infectado para que apuntara al codigo de mi ejecutable, asi iniciarse el mio y despeus ya generar y ejecutar el otro....recuerdo que el Txernobil (Worm) se alojaba en los espacios "inservibles" de los archvios, de modo que no aumentaba el peso y se ejecutaba perfectamente... Un Saludo.
|
|
|
En línea
|
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
|
|
|
~~
|
Yo ahora tb estoy desarrollando un code de infeccion, q creo, pero no estoy muy seguro q funciona distinto a ese, ya q en propagacion virica no estoy muy puesto. Soy la idea general, para el q le interese. Lo mio seria mas bien tipo joiner. Copiamos en un archivo el ekivalente al stubb, a continuacion nuestro virus, y al final el ejecutable q hemos infectado. Despues borramos el ejecutable original y nos kedamos con su nombre y su icono. De esta manera al ejecutarse este nuevo ejecutable extraeria el archiv original de si mismo, lo ejecutaria y haria lo mismo con el "virus" o el code q keramos ponerle. Es asi como lo haceis vosotros no?? por q yo eso del entrypoint ni lo e tocado
|
|
|
En línea
|
|
|
|
DrakoX
Desconectado
Mensajes: 191
|
Muy lindo ||MadAntrax|| me gusto mucho
slu2 y gracias
PD: Ya toy implementandolo en un wormq hice hace un buen tiempo
salu2
|
|
|
En línea
|
|
|
|
Saok Dagon
Desconectado
Mensajes: 115
SaOk
|
acabo de comprobar lo de los iconos la verdad es que si, es un poco cantoso.
Algien sugiere algo para evitar ese pequeño fallo
saludos
|
|
|
En línea
|
|
|
|
DrakoX
Desconectado
Mensajes: 191
|
si, ya dijiseron que con el modulo del IconChanger se puede arreglar todo
salu2 y suerte
|
|
|
En línea
|
|
|
|
|
DrakoX
Desconectado
Mensajes: 191
|
bajate el Catrus Joiner Source, que ahi tenes el iconChanger
salu2
|
|
|
En línea
|
|
|
|
Saok Dagon
Desconectado
Mensajes: 115
SaOk
|
vale ya tengo el modulo, pero no lo e pillado muy bien, cuales son los parametros para llamar a la funcion
ReplaceIcons [icono], [la ruta de donde este el .exe], [lok viene ahora ya no lo entiendo]
el problema es que en el codigo del cactus joiner, ya selecionaba el icono (.ico), pero lo que necesitamos aqui es extraerselo a un ejecutable (.exe).
saludos
|
|
|
En línea
|
|
|
|
|
|
|