Página 1 de 1
Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 22 Jun 2010, 09:15
por p0is0n-123
Obtenemos nuestra ruta...
Código: Seleccionar todo
Option Explicit
Private Declare Function GetModuleFileName Lib "kernel32" Alias "GetModuleFileNameA" (ByVal hModule As Long, ByVal lpFileName As String, ByVal nSize As Long) As Long
Public Function Getp0isPath() As String
'Programador: p0is0n -123
'Obtencion de la propia ruta,con el API GetModuleFileNameA de Kernel32
'Para Indetectables.Net
Dim sSave As String
sSave = Space(300)
Call GetModuleFileName(0, sSave, 300)
Getp0isPath = Replace(sSave, " ", "")
'Ejemplo de Uso ; Msgbox Getp0isPath
End Function
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 22 Jun 2010, 11:35
por Xpro
No esta mal bro, aunque esa api creo que ya hace saltar algunos AV's jiji
Saludos
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 22 Jun 2010, 11:37
por Slek
Recuerden que existe call api, es más, la mayoría de los runpe lo usan...
Esa api no tiene que ser ningún problema en cuanto a detección.
Recuerden pasar a unicode si haceis callapi, por que está en ANSI.
Saludos!
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 22 Jun 2010, 12:23
por p0is0n-123
Con Callapi quedaria asi
Call CallApi "kernel32", "GetModuleFileNameW", 0, StrPtr(sSave),300
Salu2
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 22 Jun 2010, 15:43
por Xpro
Slek escribió:Recuerden que existe call api, es más, la mayoría de los runpe lo usan...
Esa api no tiene que ser ningún problema en cuanto a detección.
Recuerden pasar a unicode si haceis callapi, por que está en ANSI.
Saludos!
Ya, pero en algunos casos no sé que es peor, te recuerdo que la API
que utilisa el propio call-apy, está más quemada que la pipa de un chino..
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 22 Jun 2010, 18:58
por Slek
Si, lo sé, pero hay varios callapi... Hay algunos FUD, que solo utilizan una api (y además no es RtlMoveMemory/_vbaCopyBytes) :P
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 22 Jun 2010, 19:03
por p0is0n-123
Como dice Slek,No se cierren en esas APIs
Con conocimientos basicos de conversion de variables,y un API haces maravillas
Salu2
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 23 Jun 2010, 12:58
por $DoC
muy bueno p0is0n, gran trabajo hacen ustedes con VB
SALUDOS!!
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 23 Jun 2010, 14:38
por FroZenFeW
p0is0n-123 escribió:Como dice Slek,No se cierren en esas APIs
Con conocimientos basicos de conversion de variables,y un API haces maravillas
Salu2
con conicimiento basico de api y asm puedes crear un buffer apuntando los primero 4 o 5
bytes a la direccion de la api y llamarlos por ese buffer asi no lo llamarias directamente y los av's ni cuenta se dan.
ah me acorde que estan hablando de vb.
un codigo sencillo y simple
saludos
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 23 Jun 2010, 15:18
por Xpro
FroZenFeW escribió:p0is0n-123 escribió:Como dice Slek,No se cierren en esas APIs
Con conocimientos basicos de conversion de variables,y un API haces maravillas
Salu2
con conicimiento basico de api y asm puedes crear un buffer apuntando los primero 4 o 5
bytes a la direccion de la api y llamarlos por ese buffer asi no lo llamarias directamente y los av's ni cuenta se dan.
ah me acorde que estan hablando de vb.
un codigo sencillo y simple
saludos
Así es, Hmmmm esos famosos CallApi , no apareceran por casualidad
en alguno de los Oxigen y Oxy Crypters no ?
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 23 Jun 2010, 18:17
por Slek
Pues no jeje, pero acabo de terminar otro[/] crypter FUD FUD completamente modeado desde el source... por eso digo que si es posibe.
P.D: Me estoy pensando postearlo... dejen que me reuna conmigo mismo...
Saludos!
Re: Getp0isPath (Nuestra Propia Ruta) [c0d3d p0is0n]
Publicado: 23 Jun 2010, 18:19
por p0is0n-123
Ahy te pego un ejemplo con un CallAPI
Código: Seleccionar todo
Call sPois.CallAPI("KERNEL32", "GetModuleFileNameW", App.hInstance, VarPtr(sSave), 300)