elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
23 Mayo 2012, 23:46  


Tema destacado: [AIO elhacker.NET] Compilación herramientas análisis y desinfección malware

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderadores: Karcrack, [Zero])
| | |-+  ¿Appi que usa el Taskmgr en Windows 7 para conseguir los procesos?		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Appi que usa el Taskmgr en Windows 7 para conseguir los procesos?  (Leído 2,024 veces)
YST


Desconectado Desconectado

Mensajes: 963


I'm you


Ver Perfil WWW
¿Appi que usa el Taskmgr en Windows 7 para conseguir los procesos?
« en: 14 Diciembre 2009, 20:13 »
Pues eso , alguien sabe que api es la que usa el Taskmgr para conseguir listar los procesos en Win7 .

Yo se que en Windows XP es NtQuerySystemInformation pero en windows 7 la usa solo para los procesos inactivos del sistema ( o algo a si se llaman ) . Tengo metodos para ocultar el proceso como hookeando el SendMessageW pero me interesaria que api es :P a ver si alguien se la sabe :P.

Salu2
En línea


Yo le enseñe a Kayser a usar objetos en ASM
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.271



Ver Perfil WWW
Re: ¿Appi que usa el Taskmgr en Windows 7 para conseguir los procesos?
« Respuesta #1 en: 14 Diciembre 2009, 20:46 »
No puedes leer la IAT del programa?? Lo que yo haría seria eso, ver que API's importa que tengan relación con el listado de procesos, y luego debuggearlo y poniendo un BreakPoint en cada API que te interese.

No e tocado nada sobre W7, así que no te puedo decir que software soporta ejecutables de W7 para su análisis.

Un Saludo  :)
En línea
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
YST


Desconectado Desconectado

Mensajes: 963


I'm you


Ver Perfil WWW
Re: ¿Appi que usa el Taskmgr en Windows 7 para conseguir los procesos?
« Respuesta #2 en: 14 Diciembre 2009, 21:11 »
Si revise el IAT y no encontre nada interesante :( Talvez esta delante de mis ojos la api pero no la veo :xD

Para los que no tengan win7 les dejo el link de descarga del taskmgr.exe de win7

Código:
http://www.megaupload.com/?d=YFFKPXEU
« Última modificación: 15 Diciembre 2009, 20:05 por Karcrack » En línea


Yo le enseñe a Kayser a usar objetos en ASM
Karcrack
Moderador
***
Desconectado Desconectado

Mensajes: 2.190


Se siente observado ¬¬'


Ver Perfil
Re: ¿Appi que usa el Taskmgr en Windows 7 para conseguir los procesos?
« Respuesta #3 en: 15 Diciembre 2009, 20:10 »
No puedo analizarlo desde aqui, dice que no es una aplicacion W32 valida :laugh: :laugh:

En W7 no se usa el WMI para listar? :rolleyes: :rolleyes: :rolleyes:
En línea
YST


Desconectado Desconectado

Mensajes: 963


I'm you


Ver Perfil WWW
Re: ¿Appi que usa el Taskmgr en Windows 7 para conseguir los procesos?
« Respuesta #4 en: 15 Diciembre 2009, 20:11 »
Cita de: Karcrack en 15 Diciembre 2009, 20:10
No puedo analizarlo desde aqui, dice que no es una aplicacion W32 valida :laugh: :laugh:

En W7 no se usa el WMI para listar? :rolleyes: :rolleyes: :rolleyes:

No creo ya que si no mal olvido .. el WMI se puede desactivar y no vas a joder el taskmgr por no tener el WMI :xD
En línea


Yo le enseñe a Kayser a usar objetos en ASM
Karcrack
Moderador
***
Desconectado Desconectado

Mensajes: 2.190


Se siente observado ¬¬'


Ver Perfil
Re: ¿Appi que usa el Taskmgr en Windows 7 para conseguir los procesos?
« Respuesta #5 en: 15 Diciembre 2009, 20:52 »
Cita de: YST en 15 Diciembre 2009, 20:11
No creo ya que si no mal olvido .. el WMI se puede desactivar y no vas a joder el taskmgr por no tener el WMI :xD
Pues no se, por la IAT, que es lo unico que puedo ver con el EXE que has puesto, veo que carga WMI o cualquier otro objeto de ese tipo....
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines