Hallo ich hätte mal eine frage ist es eigentlich möglich in vb.net runtime crypter/Binder/Stealer usw zu schreiben weil ich habe noch kein beispiel gesehen nur in vb

Ich denke mal es ist möglich, denn vor einiger zeit dachte man auch es ist kein Runtime in Vb6 möglich! Aber wenn ist die Methode nicht Public.

erstmal suchen dann fragen...
wurde erst letztens in einem thread drüber diskutiert ...

ps. ....und ich sage es ist möglich :) bitte frag mich jetzt nicht nach ner source..

edit://

http://www.vcskicks.com/exe-from-memory.php
http://www.codeproject.com/KB/cs/Loa...oAssembly.aspx (http://www.codeproject.com/KB/cs/LoadExeIntoAssembly.aspx)

keine angst ich versuch mich bis zu den sommerferien noch an vb6 und ab dann wird richtig vb.net gelernt ich glaube auch wenn vb.net richtig bekannt wird also von viel leuten genutzt wird wie vb6 wird es nicht lange dauern bis es dort auch runtime gibt ^^

habe mal was bekommen, ist die source von nem vb.net crypter...
ich glaube sogar runtime :)
aber solltest du selbst mal genauer untersuchen...

dl: http://rapidshare.com/files/247766248/Lexies_Crypter_source.rar.html

ps. kommt auch aus dem FH archiv, wie ich gerade gesehen habe...

@br00_pwn
Dein source ist vb6^^

Zum Thema:
Es gab ja schon einige Diskussionen über dieses Thema , im Prinzip ist es sehr wohl möglich , es gibt sogar eine eigene .NET Funktion um IL-Code in den Speicher zu schreiben und von dort zu starten.

wie die links von br00_pwn ja auch zeigen^^
Von daher um die frage kurz zu beantworten: Ja!

MfG

hups, dachte es wäre die .net version....hatte nicht mehr reingeschaut!
naja, er sollte es ja auch mal selbst untersuchen :)

..richtig, IL muss umgewandelt werden :)

/edit// wenn ich die net version finde, werde ich sie posten../war aber da noch etwas umständlich, glaub..

Kennst du den namen dieser funktion Papst?

Wäre nett wenn du den erwähnen könntest ^^

PS: Also wie ich das verstanden hab gibts eine Funktion dateien die nicht nur in IL code geschrieben sind in den memory zu laden und von dort zu starten.
Weil die kennt ja so ziemlihc jeder.... Falls ich das missverstanden hab...

ich wette es ist sogar definitiv möglich nen runtime crypter zu coden nur wird es noch etwas dauern bis es jemand herrausgefunden hat wie es geht

Ich seh das Problem einfach in dem IL code... Dass der erst noch umgewandelt werden muss... Deswegen ist ein RT crypter für mich im moment unmöglich^^
Aber meine meinung hat nichts zu heißen! Bin ja kein pro...

Ich seh das Problem einfach in dem IL code... Dass der erst noch umgewandelt werden muss... Deswegen ist ein RT crypter für mich im moment unmöglich^^
Aber meine Meinung hat nichts zu heißen! Bin ja kein pro...Das ist ja nicht das problem ;) die besagte Funktion erledigt das bereits , es compiliert den code Nativ und dann kommt er in den speichern
Ich sehe darin kein Problem , bezüglich RT.

MfG

Wo ist eigentlich das Problem?
Wenn man die nötigen Funktionen (CreateProcess, NtUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread) importiert kann man sehr leicht eine Datei in den Speicher laden (zumindest klappt das mit nativen Programmen).
Das ist mit VB(.NET) möglich.

Wenn man einen echten Crypter schreiben will - der seine Stub in die Datei injeziert braucht man die Assembler-Sprache, aber das Injezieren (also "Builden" wenn ihr so wollt) ist ebenfalls mit VB(.NET) möglich.

Wem das zuviel Arbeit ist, der soll es einfach lassen.
Fertig!

also du meinst sozusagen inline asm ?

Inline-Assembler ist in .NET nativ logischerweise nicht möglich, aber die Stub muss ja nicht direkt mit im Code stehen.

Das ist der "Großvater" der heute üblichen RunPE/CreateProcessEX usw. "Runtimemodule".
http://www.security.org.sg/code/loadexe.html
Ist von 2004. Was davon genau soll sich nun nicht mit NET umsetzen können?

Das Prinzip ist deshalb so beliebt, weil man die bestehenden Module nicht wirklich verstehen muss und nur bisschen Junkcode/API"crypting" betreiben. D.h aber auch, dass nur weil jemand "Crypter" schreiben kann, muss er noch lange nicht das Prinzip/Funktionsweise verstanden haben (oder sich gar damit beschäftigt :rolleyes: ).
Die einzige Schwierigkeit bei NET ist das Fehlen der PE-Header Definition. Das ist aber auch bei VB6 so gewesen (man schaue sich das VB6-RunPE Modul genau an ;), Großteil der Deklarierungen wird nie gebraucht). Und man kann eigentlich für die paar Manipulationen auch ohne solche Definitionen auskommen. Man muss halt nur auf veränderte Datentypen achten (http://dotnet-forum.de/KnowledgeBase/articles/2008/06/08/275-win32-api-in-vb-net.aspx ). Wahrscheinlich gibt es solche Übersetzunen eher schon, nur will keiner den Source posten. Und das ist verständlich - wieviele "Möchtegerncryptercoder" haben denn eine GUI um Cobains Code gebastelt und das als eigenen Crypter verkauft?