Es el WriteProcessMemory, mi crypter no usa CreateRemoteThread.
Me refiero a que detecta el uso de WriteProcessMemory cuando se está ejecutando no al escanear. El CreateRemoteThread te lo detecta directamente al escanear
al escanear y al ejecutarse... Lo se porque usaba la api sin declarar (me saltaba el escaneo) y en ejecución me saltaba al usar la api createremotethread....pero ya te digo, era en la versio 6.0
Por cierto, buen trabajo
En línea
Muchas veces las cosas no se le dan al que las merece más, sino al que sabe pedirlas con insistencia. - Arthur Schopenhauer
a mi me detecta ese writeprocessmemory, como se hace para que el server no se injecte en algn proceso por ejemplo que sea temporal o que se ejecute y este servicio del sistema..
a mi me detecta ese writeprocessmemory, como se hace para que el server no se injecte en algn proceso por ejemplo que sea temporal o que se ejecute y este servicio del sistema..
Si, ya me e informado al respecto. Me e instalado Kav7 y me detecta el SetThreadContext. Y resulta q el kav6 detecta WriteProcessMemory. No se, a mi me parece mejor av el kav6 detecta mas cosas (como añadir secciones a mano mal, q el kav7 no las detecta)
ami con el nod32 me detecta el archivo.exe.bak pero el .exe (que es el server) ese no me lo detecta.
mi pregunta es que si pasando solo el servidor se infectaria? o deberia pasar los 2 archivos?
gracias y sorry por estas preguntitas jejej
El archivo .exe a secas es el encriptado el q los av's no te detectarán. El exe.bak es una copia de seguridad del archivo a encriptar. Vamos: -> .EXE Archivo indetectable -> .BAK Archivo original El exe funciona solito logicamente
Sinceramente no se kuales son exactamente las diferencias entre el 6 y el 7. Lo k puedo decir esk en Vista, solo funciona el 7, y en la proactive defense solo hay 1 evento disponible. En xp no se como esta el 7 pork sigo con el 6.
Aun asi yo creo k lo has visto mal, el setthreadcontext no hace falta para escribir memoria en un proceso, el writeprocessmemory si es siempre necesario. El writeprocessmemory es detectado en el 6. Kuando entres en el msn lo miramos a ver k yo no voy a instalar el 7 ^^
Ah, ya te lo havia dicho antes de lo posteares pero, buen trabajo
Pues me acabo de instalar el Kis 6.0 y ahora si que me detcta el WriteProcessMemory (lo curioso es q lo e probado con un rootkit q e hecho q no carga ninguna dll y solo me detecta escrituras en memoria "no peligrosas", por ejemplo cuandme cargo el inicio del api salta, cuando le meto datos no), la verdad es q protege mejor la version 6 q la 7 y el firewall q trae es bastante bueno. Ya e aprobechado y me e kitado el Zone Alarm y ahora mi Pc va 10.000 veces mas rapido xD
De todas maneras a ver si hablamos por el msn y hacemos unas cuantas pruebas Salu2
Hace mucho tiempo que yo ando buscando solución para esta defensa, lo que se puede hacer es no inyectar pero salta el firewall seria una solución solo para el kav y no para el kis y más que nada mediocre...
La solución ya existe y parece ser que se encuentra muy bien escondida mirad el siguiente vídeo:
Excelente trabajo por cierto E0N sigue así y ojala salga la nueva versión al igual que la web, saludos
Autor
En línea
mirad el siguiente vídeo:
