|
Título: SemaphoreW & CreateMutexW | Prevenir la ejecución "TaskMgr.exe" y "MSconfig.exe" Publicado por: STARZ en 26 Julio 2012, 22:23 pm Hola, jugando un poco con el HexWorksop, "taskmgr.exe" y "msconfig.exe" se me ocurrió una forma para prevenir la ejecución de estos dos programitas.
El "Taskmgr.exe" crea un mutex para prevenir la ejecución múltiple de sí mismo El "msconfig.exe" crea un Semaphore, que vendría a tener la misma utilidad que el mutex La idea es la siguiente: Que nuestra aplicación cree ese mutex/semaphore para que task y msconf se crean que ya están abiertos y no se ejecuten. Ahí va la pregunta: ¿Alguno de ustedes tiene idea de cómo puedo hacer para averiguar el mutex/semaphore que usan estas dos apps.? Título: Re: SemaphoreW & CreateMutexW | Prevenir la ejecución "TaskMgr.exe" y "MSconfig.exe" Publicado por: raul338 en 26 Julio 2012, 22:46 pm MM... puedes usar ProcessMonitor para ver que API's y recursos usas, y tal vez como :P
Título: Re: SemaphoreW & CreateMutexW | Prevenir la ejecución "TaskMgr.exe" y "MSconfig.exe" Publicado por: MCKSys Argentina en 26 Julio 2012, 22:49 pm Process Explorer te da los nombres de los Mutex, Semaphores y demas yerbas...
Título: Re: SemaphoreW & CreateMutexW | Prevenir la ejecución "TaskMgr.exe" y "MSconfig.exe" Publicado por: Karcrack en 27 Julio 2012, 12:35 pm >:D >:D >:D Me adelanté :P (Hace ya 3 años :o :o) Yo para ver las cadenas que utiliza usé el OllyDbg y así vi las llamadas a las APIs...
Citar http://foro.elhacker.net/programacion_vb/src_deshabilitar_taskmgr_nuevo_metodo-t266708.0.html http://foro.elhacker.net/programacion_visual_basic/mvb6snippet_disablemsconfig_desactiva_msconfigexe-t302087.0.html http://foro.elhacker.net/programacion_vb/src_deshabilitar_regedit_nuevo_metodo-t266716.0.html Como puedes ver el Taskmgr requiere crear una ventana con el título adecuado para responder a un mensaje especial que envía el proceso... :) Cualquier duda será un placer ayudarte :-* Título: Re: SemaphoreW & CreateMutexW | Prevenir la ejecución "TaskMgr.exe" y "MSconfig.exe" Publicado por: STARZ en 27 Julio 2012, 17:01 pm Gracias raul338 y MCKSys Argentinapor responder, me fue de mucha ayuda.
Karcrack: pero que desilución que alguien ya lo había hecho antes, yo quería hacer algo original. Después de varios dolores de cabeza, con el Olly había logrado sacar el semaphore del MSconfig, ya que con el process explorer no me lo dejaba abrir -> Este me salió :silbar: Respecto al taskmgr había logrado sacar el mutant (así se llama en el process explorer :huh:) de windows XP , vista y windows 7 (para esto me los tuve que bajar los SO e instalarlos en una virtual), peró no entendía qué otra comprobación hacía, ahora veo en tu code que es lo del nombre :-[ Para el regedit ni se me había pasado por la cabeza intentar "bloquearlo", pero voy a demenuzar un poquito tu code y ver que pasa. Conclusión: Hay que usar el buscador... Título: Re: SemaphoreW & CreateMutexW | Prevenir la ejecución "TaskMgr.exe" y "MSconfig.exe" Publicado por: Karcrack en 27 Julio 2012, 17:14 pm No te preocupes por si ya estaba hecho o no, lo importante es que en el proceso hayas aprendido cosas nuevas ;D
Lo del Taskmgr a mí me dio unos cuantos dolores de cabeza, porqué no sólo saca el nombre de la ventana, sino que además la busca usando FindWindow() y le envía un MSG personalizado para que ésta obtenga el foco. Si pruebas a abrir otro taskmgr mientras hay uno abierto verás que el que está abierto obtiene foco. El problema está en que el taskmgr que se está intentado iniciar espera que el abierto le responda algo a ese MSG.. por eso hay que crear la ventana y subclasificarla. Espero haberte ayudado con la explicación :) Sigue investigando, hay cosas muy interesantes escondidas en los ficheros del sistema :laugh: |