Buenas,

mi problema es el siguiente:

Un programa A ejecuta un programa B, y mediante ésto, el programa B puede conectarse a una maquina que tiene fijada, pasando el login de forma satisfactoria. En cambio, si ejecutamos B directamente, el programa no logra pasar del login.
Mi hipotesis es que el programa A, al tener a B como hijo, tiene la memoria del segundo disponible, y le provoca algun cambio de forma que B puede pasar el login. Tal vez alguna clave de cifrado o contraseña interna.

Mi pregunta vendría a ser si es posible detectar los offsets que modifica el programa A al programa B. Los debuggers estan descartados, ya que el programa A va cifrado con Themida.

Alguna idea?

Gracias de antemano

Cierto, que los procesos no comparten memoria es de las cosas que nunca me acuerdo >_<

Hay alguna forma de monitorizar estas pipes, si son realmente lo que hay? Tenia pensado sustituir el programa B por otro, que escribiera lo que se recibe por la pipe... pero por desgracia estoy en entorno Windows y no se como hacerlo.

Bien, he estado documentandome sobre esa API. Tratándose realmente de una pipe entre los 2 procesos, la cuestion ahora es saber:

1- Si se trata de una pipe anónima o una named pipe (aunque no se si en Windows funciona igual que en Linux), y
2- Cómo averiguar el identificador de esa pipe e interceptarla. En teoría si fuera una named pipe ya sólo habría que lanzar ReadFile hacia dicha pipe e ir leyendo lo que recibimos.

Gracias por la ayuda, llevo bastante tiempo con este reto

EDIT: Olvide comentar que el programa B es ajeno al programa A, o sea, que no sabe de su existencia.

mmm.... alomejor la idea es un poco loca y no funcione ( no lo he probado xDDD ), pero y si haces las variables a las que quieras llegar o modificar globales ( en el b ) he injectas un hilo ( con a ) ?¿. O tambien si es solo para el envio de una cadena puedes usar la ventana ( invisible si lo quieres ).

Como pregunta aunuque me imagino que si, no se podria hacer un metodo de busqueda de memoria vacia ( esto si ) y que donde encontrara hueco la usara ( esto tambien ), luego le añades 3 offset como prefijo para reconocer donde se aloja ("\x56\x09\x87" ) y desde b buscas en memoria los 3 primeros bytes y lees los X siguiente

Tampoco he echo nunca esto, pero seria posible o falla algo? ( obviamente habria que controlar la memoria etc..... )


Memory Corrupt x"DDDDDDDDDDDD