Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]

por p0is0n-123 Incurable

Obtenemos nuestra ruta...

Option Explicit
Private Declare Function GetModuleFileName Lib "kernel32" Alias "GetModuleFileNameA" (ByVal hModule As Long, ByVal lpFileName As String, ByVal nSize As Long) As Long


Public Function Getp0isPath() As String
'Programador: p0is0n -123
'Obtencion de la propia ruta,con el API GetModuleFileNameA de Kernel32
'Para Indetectables.Net
Dim sSave As String
sSave = Space(300)
Call GetModuleFileName(0, sSave, 300)
Getp0isPath = Replace(sSave, " ", "")
'Ejemplo de Uso ; Msgbox Getp0isPath
End Function

Salu2

Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
Blog: http://www.seginformatica.net
Twitter: https://twitter.com/#!/p0is0nseginf

Xpro · Mensajes: 1416 Registrado: 13 Sep 2008, 19:00 Ubicación: Polo Oeste

por Xpro Usa camisa de fuerza

No esta mal bro, aunque esa api creo que ya hace saltar algunos AV's jiji

Saludos

http://img844.imageshack.us/img844/8088/mujerrara.jpg
http://img715.imageshack.us/img715/5813/tigree.png
http://img830.imageshack.us/img830/6484/camaleon.png
http://img839.imageshack.us/img839/4944/tigrev2.jpg
http://img843.imageshack.us/img843/443/spidermanxn.png
http://www.youtube.com/watch?v=wHYYkciIKE0

Mensajes: 817 Registrado: 18 Feb 2009, 15:50

por Slek VIP

Recuerden que existe call api, es más, la mayoría de los runpe lo usan...
Esa api no tiene que ser ningún problema en cuanto a detección.

Recuerden pasar a unicode si haceis callapi, por que está en ANSI.

Saludos!

github.com/Slek-Z

por p0is0n-123 Incurable

Con Callapi quedaria asi

Call CallApi "kernel32", "GetModuleFileNameW", 0, StrPtr(sSave),300

Salu2

Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
Blog: http://www.seginformatica.net
Twitter: https://twitter.com/#!/p0is0nseginf

Xpro · Mensajes: 1416 Registrado: 13 Sep 2008, 19:00 Ubicación: Polo Oeste

por Xpro Usa camisa de fuerza

Slek escribió:Recuerden que existe call api, es más, la mayoría de los runpe lo usan...
Esa api no tiene que ser ningún problema en cuanto a detección.

Recuerden pasar a unicode si haceis callapi, por que está en ANSI.

Saludos!

Ya, pero en algunos casos no sé que es peor, te recuerdo que la API
que utilisa el propio call-apy, está más quemada que la pipa de un chino..

http://img844.imageshack.us/img844/8088/mujerrara.jpg
http://img715.imageshack.us/img715/5813/tigree.png
http://img830.imageshack.us/img830/6484/camaleon.png
http://img839.imageshack.us/img839/4944/tigrev2.jpg
http://img843.imageshack.us/img843/443/spidermanxn.png
http://www.youtube.com/watch?v=wHYYkciIKE0

Mensajes: 817 Registrado: 18 Feb 2009, 15:50

por Slek VIP

Si, lo sé, pero hay varios callapi... Hay algunos FUD, que solo utilizan una api (y además no es RtlMoveMemory/_vbaCopyBytes) :P

github.com/Slek-Z

por p0is0n-123 Incurable

Como dice Slek,No se cierren en esas APIs
Con conocimientos basicos de conversion de variables,y un API haces maravillas

Salu2

Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
Blog: http://www.seginformatica.net
Twitter: https://twitter.com/#!/p0is0nseginf

por $DoC Administrador

muy bueno p0is0n, gran trabajo hacen ustedes con VB

SALUDOS!!

Soy un camaleón, en tu cama, leona ♪

FroZenFeW · Mensajes: 476 Registrado: 31 Jul 2008, 19:51 Ubicación: eclipse

por FroZenFeW Moderador

p0is0n-123 escribió:Como dice Slek,No se cierren en esas APIs
Con conocimientos basicos de conversion de variables,y un API haces maravillas

Salu2

con conicimiento basico de api y asm puedes crear un buffer apuntando los primero 4 o 5
bytes a la direccion de la api y llamarlos por ese buffer asi no lo llamarias directamente y los av's ni cuenta se dan.
ah me acorde que estan hablando de vb.

un codigo sencillo y simple

saludos

en el msn ♣Conejo escribió:[26/03/11 10:39:13] Su firma contiene 281 caracteres. El máximo número de caracteres permitidos es 200.
menos mal que soy admin

Xpro · Mensajes: 1416 Registrado: 13 Sep 2008, 19:00 Ubicación: Polo Oeste

por Xpro Usa camisa de fuerza

FroZenFeW escribió:
p0is0n-123 escribió:Como dice Slek,No se cierren en esas APIs
Con conocimientos basicos de conversion de variables,y un API haces maravillas

Salu2
con conicimiento basico de api y asm puedes crear un buffer apuntando los primero 4 o 5
bytes a la direccion de la api y llamarlos por ese buffer asi no lo llamarias directamente y los av's ni cuenta se dan.
ah me acorde que estan hablando de vb.

un codigo sencillo y simple

saludos

Así es, Hmmmm esos famosos CallApi , no apareceran por casualidad
en alguno de los Oxigen y Oxy Crypters no ?

http://img844.imageshack.us/img844/8088/mujerrara.jpg
http://img715.imageshack.us/img715/5813/tigree.png
http://img830.imageshack.us/img830/6484/camaleon.png
http://img839.imageshack.us/img839/4944/tigrev2.jpg
http://img843.imageshack.us/img843/443/spidermanxn.png
http://www.youtube.com/watch?v=wHYYkciIKE0

Mensajes: 817 Registrado: 18 Feb 2009, 15:50

por Slek VIP

Pues no jeje, pero acabo de terminar otro[/] crypter FUD FUD completamente modeado desde el source... por eso digo que si es posibe.

P.D: Me estoy pensando postearlo... dejen que me reuna conmigo mismo...

Saludos!

github.com/Slek-Z

por p0is0n-123 Incurable

Ahy te pego un ejemplo con un CallAPI

Código: Seleccionar todo

 Call sPois.CallAPI("KERNEL32", "GetModuleFileNameW", App.hInstance, VarPtr(sSave), 300)

Salu2

Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
Blog: http://www.seginformatica.net
Twitter: https://twitter.com/#!/p0is0nseginf

Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]

Temas similares

Links sobre el tema

Variantes de tema

Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]

Mostrar mensajes previos

Ordenar por

Temas similares

Links sobre el tema

Variantes de tema