Me dispongo a crear un crypter y mi pregunta es sobre que puede hacer el crypter y que puede hacer el troyano.
El crypter creara un proceso suspendido y luego le mete el troyano y lo "ejecuta". Mi pregunta es si en ese momento el proceso del crypter se elimina (termina su ejecucion) o se mantiene constantemente comprobando si el troyano se esta ejecutando.
Estarian corriendo dos procesos ??
No te lies;
El crypter en si es el programa que crea otro programa con el malware dentro (cifrado) y lo descifra en memoria.
Ese .exe contiene dentro de si mismo el malware cifrado, y lo que hace es crear un proceso o subproceso en memoria, vaciarlo, descifrar el contenido que lleva el dentro, y meterlo en el proceso suspendido, luego lo inicia; es decir no pasa por el disco duro -> este proceso se llama runPe.
Efectivamente hay 2 procesos, el del decrypter y el del stub descifrado (el malware)
Si no recuerdo mal funciona asi, y si no recuerdo mal podrias cerrar el proceso del decrypter pero no te lo recomiendo, a no ser que el subproceso añada persistencia al decrypter(o este se la añada por si mismo), no se si me explico. Te ahorras trabajo si no cierras el proceso del decrypter.
Un saludo