|
Título: cambiar localización de un proceso Publicado por: Borito30 en 29 Noviembre 2016, 15:39 pm Es posible cambiar la localización de un proceso¿?¿?¿??¿? es decir cuando abro la localización del proceso me manda a la ruta del fichero es posible mandar a otra ruta diferente en mi pc?¿ :huh:
Título: Re: cambiar localización de un proceso Publicado por: xiruko en 29 Noviembre 2016, 15:45 pm Hola,
Sí, es posible. No sé qué función usa Windows para determinar la localización de un proceso en el sistema de archivos, pero si tú la sabes podrías hacerle un hook y ejecutar tu propio código cada vez que se llamara a esa función, por lo que podrías hacer que devolviera una ruta diferente a la inicial. Busca en Google sobre Api hooking para más información, hay muchos ejemplos. Saludos! Título: Re: cambiar localización de un proceso Publicado por: engel lex en 29 Noviembre 2016, 18:13 pm Viendo tus temas pasados te lo responderé simple... es más fácil hacer que el proceso no se muestre en el tskmgr
Título: Re: cambiar localización de un proceso Publicado por: Borito30 en 30 Noviembre 2016, 10:43 am Viendo tus temas pasados te lo responderé simple... es más fácil hacer que el proceso no se muestre en el tskmgr de momento solo conozco para 32 bits y bueno hay por ahí en github algun que otro proyecto que aprovechan cierto exploits para invisibilizarse en el taskmgr. Pero como no tengas permisos de administrador lo llevas dificil.Además si me quiero ocultar del taskmgr pa eso me hago una dll y me pongo en el dllhost.exe como todos bichos que aparecen ahora poweliks y dridex y voy migrando de procesos y es lo más sigiloso. Y uso reflective dll injection para inyectar en 32 o 64 bits como toda la amalgama de malware que sale ultimamente. Pero bueno era simplemente también por curiosidad. :silbar: Título: Re: cambiar localización de un proceso Publicado por: [Arg] $triker; en 30 Noviembre 2016, 16:18 pm de momento solo conozco para 32 bits y bueno hay por ahí en github algun que otro proyecto que aprovechan cierto exploits para invisibilizarse en el taskmgr. Pero como no tengas permisos de administrador lo llevas dificil. Además si me quiero ocultar del taskmgr pa eso me hago una dll y me pongo en el dllhost.exe como todos bichos que aparecen ahora poweliks y dridex y voy migrando de procesos y es lo más sigiloso. Y uso reflective dll injection para inyectar en 32 o 64 bits como toda la amalgama de malware que sale ultimamente. Pero bueno era simplemente también por curiosidad. :silbar: ¿Qué dice? La ubicación del proceso es la ubicación del ejecutable al que pertenece... si cambiás la ubicación del ejecutable, se cambia la ubicación a la que lleva ese botón. Mientras un ejecutable esté corriendo, no se puede operar con él. Título: Re: cambiar localización de un proceso Publicado por: MCKSys Argentina en 30 Noviembre 2016, 16:25 pm ¿Qué dice? La ubicación del proceso es la ubicación del ejecutable al que pertenece... si cambiás la ubicación del ejecutable, se cambia la ubicación a la que lleva ese botón. Mientras un ejecutable esté corriendo, no se puede operar con él. Creo que está intentando cambiar el path que aparece en memoria cuando se corre un exe. No estoy seguro de dónde está esa info, pero creería que está en el kernel, por lo que sería altamente improbable ocultar el path de un taskman "como la gente" (léase Process Explorer). Digo, por si piensan en usar API hooking. Contra un driver no tiene efecto. Saludos! |