Das ist ja nicht das problemIch seh das Problem einfach in dem IL code... Dass der erst noch umgewandelt werden muss... Deswegen ist ein RT crypter für mich im moment unmöglich^^
Aber meine Meinung hat nichts zu heißen! Bin ja kein pro...die besagte Funktion erledigt das bereits , es compiliert den code Nativ und dann kommt er in den speichern
Ich sehe darin kein Problem , bezüglich RT.
MfG
Ergebnis 11 bis 15 von 15
Thema: Runtime in VB.Net
-
25.06.2009, 17:41 #11Richard Stallman
- Registriert seit
- 26.07.2008
- Beiträge
- 2.037
Geändert von Sawyer (25.06.2009 um 17:45 Uhr)
-
25.06.2009, 18:11 #12Der mit Anatidaephobie
- Registriert seit
- 11.07.2008
- Beiträge
- 2.350
Wo ist eigentlich das Problem?
Wenn man die nötigen Funktionen (CreateProcess, NtUnmapViewOfSection, VirtualAllocEx, WriteProcessMemory, GetThreadContext, SetThreadContext, ResumeThread) importiert kann man sehr leicht eine Datei in den Speicher laden (zumindest klappt das mit nativen Programmen).
Das ist mit VB(.NET) möglich.
Wenn man einen echten Crypter schreiben will - der seine Stub in die Datei injeziert braucht man die Assembler-Sprache, aber das Injezieren (also "Builden" wenn ihr so wollt) ist ebenfalls mit VB(.NET) möglich.
Wem das zuviel Arbeit ist, der soll es einfach lassen.
Fertig!
PDFTT cr3w a.E. — ReiDC0Re, lindor, Sera, berry
please do feed the trolls crew and elk
Ehrenwerte Mitglieder im Ruhestand: OpCodez, SFX.
"Was sich blackberry gerade denkt" — Vorsicht! Frei laufender Wahnsinn!
Zitat von fuckinghot19: "PS: Blackberry ist auf FH der Trollkönig ^^."
An dieser Stelle danke ich all meinen Fans und Hatern gleichermaßen ^.^
-
27.06.2009, 08:22 #13Anfänger
- Registriert seit
- 23.06.2009
- Beiträge
- 27
also du meinst sozusagen inline asm ?
-
27.06.2009, 08:56 #14I'm in ur VM.
- Registriert seit
- 23.07.2007
- Beiträge
- 1.038
Inline-Assembler ist in .NET nativ logischerweise nicht möglich, aber die Stub muss ja nicht direkt mit im Code stehen.
I can haz RCE?
-
27.06.2009, 11:40 #15OpCodeKiddy
- Registriert seit
- 30.03.2009
- Beiträge
- 442
Das ist der "Großvater" der heute üblichen RunPE/CreateProcessEX usw. "Runtimemodule".
http://www.security.org.sg/code/loadexe.html
Ist von 2004. Was davon genau soll sich nun nicht mit NET umsetzen können?
Das Prinzip ist deshalb so beliebt, weil man die bestehenden Module nicht wirklich verstehen muss und nur bisschen Junkcode/API"crypting" betreiben. D.h aber auch, dass nur weil jemand "Crypter" schreiben kann, muss er noch lange nicht das Prinzip/Funktionsweise verstanden haben (oder sich gar damit beschäftigt
).
Die einzige Schwierigkeit bei NET ist das Fehlen der PE-Header Definition. Das ist aber auch bei VB6 so gewesen (man schaue sich das VB6-RunPE Modul genau an, Großteil der Deklarierungen wird nie gebraucht). Und man kann eigentlich für die paar Manipulationen auch ohne solche Definitionen auskommen. Man muss halt nur auf veränderte Datentypen achten (http://dotnet-forum.de/KnowledgeBase...in-vb-net.aspx ). Wahrscheinlich gibt es solche Übersetzunen eher schon, nur will keiner den Source posten. Und das ist verständlich - wieviele "Möchtegerncryptercoder" haben denn eine GUI um Cobains Code gebastelt und das als eigenen Crypter verkauft?
Zitieren
