Foro de elhacker.net

Programación => Ingeniería Inversa => Mensaje iniciado por: AsTeroine en 25 Marzo 2005, 00:05 am



Título: Proceso en Memoria
Publicado por: AsTeroine en 25 Marzo 2005, 00:05 am
 ;D  Holas
Bueno les explico rapido.- baje el filemoon y queria saber datos de un programa ejemplo FILE.EXE entonces vi que su protecccion es algo como leer todos los ejecutables que estan corriendo en windows, entonces si encuentra CRACK.EXE (programa x que burla una seguridad de FILE.EXE ) entonces se cierra y manda error, como siempre  ???
Lo que keria consultar es como denegar k el programa FILE.EXE haga el proceso de READ/OPEN/CLOSE con el programa CRACK.EXE   OJALA ME ENTIENDAN  :P
El programa FILE.EXE necesita de internet para que funcione asi que ademas no se puede parchear o algo asi.

Derrepente la solucion se puede hacer por medio de Vbasic o algo no tan pesado ya que tengo winxp 8) (hay no me funka el numega softice  :'( )

Gracias -.-


Título: Re: Proceso en Memoria
Publicado por: Slasher-K en 29 Marzo 2005, 05:15 am
Si a lo que te referis es a burlar un AV, entonces la cuestión no es tan fácil como burlar un programa común. Por empezar, podrías cambiarle el nombre de CRACK.EXE por CRACKA.EXE o algo por el estilo, por si lo busca con el nombre. En el caso que no lo busque por el nombre podrías intentar modificar algunos offset en las cabeceras del ejecutable, y mover las secciones. La cuestión es modificar partes del archivo que puedan identificarlo, ya sean recursos, funciones, etc.

Si especificas mejor a qué programa te referis, es más fácil ayudarte.

Saludos.


Título: Re: Proceso en Memoria
Publicado por: UnpaCker! en 15 Abril 2005, 10:14 am
Yo en lo personal te recomendaria renombrar los programas q digan "crack.exe" con algo como "__crack.exe" asi es casi imposible que lo detecten. Yo cierta vez en un programa llamado system mechanic hace lo mismo pero con la trivialidad de que si encuentra algun programa funcionando con el nombre "keyxxx.xxx" reinicia el ordena. La forma mas facil ahi fue parchear esa "proteccion" .

No importa si revisa la info en el server..localiza la llamada q hace al server y parcheala.. lo mas comun es nopearla para eviatar q haga comprobaciones en el server..asi puedes limpiar las demas limitantes.

No te fies si Filemon te dice q revisa tal o cual el programa puede ser q solo haga un scan del disco mas no q busque un nombre en expecifico.. eso chekalo poniendo un BPX generico. Ademas si cuenta con esa proteccion tambien contara con alguna para el debugger.

Chekalo y nos cuentas!

Regards!