elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Problema con RunPE		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Problema con RunPE  (Leído 3,039 veces)
t4r0x

Desconectado Desconectado

Mensajes: 92



Ver Perfil
Problema con RunPE
« en: 12 Noviembre 2014, 18:53 pm »
Hola a todos, veran tengo un problema con un runpe, yo cargo mi malware usando
CreateProcess (suspendido )luego escribo las secciones con WriteProcessMemory uso GetThreadContext , SetThreadContext y por ultimo ResumeThread hasta ahi todo bien pero ahora estaba cargando un ejecutable que usa GetModuleFileName y el problema es que me retorna la ruta del ejecutable que use como host y no la ruta del programa que cargue dentro de este, como puedo resolver ese problema? espero que me haya dado a entender.
En línea
x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Problema con RunPE
« Respuesta #1 en: 27 Noviembre 2014, 02:47 am »
Cita de: t4r0x en 12 Noviembre 2014, 18:53 pm
Hola a todos, veran tengo un problema con un runpe, yo cargo mi malware usando
CreateProcess (suspendido )luego escribo las secciones con WriteProcessMemory uso GetThreadContext , SetThreadContext y por ultimo ResumeThread hasta ahi todo bien pero ahora estaba cargando un ejecutable que usa GetModuleFileName y el problema es que me retorna la ruta del ejecutable que use como host y no la ruta del programa que cargue dentro de este, como puedo resolver ese problema? espero que me haya dado a entender.
Esa manera de cargar el ejecutable es tan mala y vieja, pero bueno... para resolver lo que quieres debes es actualizar el PEB o redirigir las llamadas que leen esa información ya que GetModuleFileName lo hace o hacer la carga en la memoria correspondiente. mejor carga el ejecutable manualmente resolviendo los todos los directorios que se deba (Importaciones, TLS, relocalizaciones, etc)
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
RunPE Killer V. 1.0 By Psymera
Ingeniería Inversa 		psymera 6 8,222 Último mensaje 17 Septiembre 2009, 18:25 pm
por Arkangel_0x7C5
Que es un RunPE? « 1 2 »
Análisis y Diseño de Malware 		x64core 11 14,942 Último mensaje 16 Octubre 2011, 11:29 am
por [Kayser]
Duda RunPE
Análisis y Diseño de Malware 		[Kayser] 2 3,475 Último mensaje 10 Diciembre 2011, 13:34 pm
por [Kayser]
Funcionamiento de un RunPE « 1 2 »
Análisis y Diseño de Malware 		[Kayser] 10 9,337 Último mensaje 29 Julio 2013, 19:53 pm
por arfgh
ChimeraPE: Alternativa a RunPE
Análisis y Diseño de Malware 		MCKSys Argentina 1 4,972 Último mensaje 25 Agosto 2016, 22:04 pm
por fary
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines