Hola quisiera saber si es posible hacer lo siguiente.

Actualmente hago lo siguiente en la aplicación.
Seteo en mi aplicación una variable de entorno.
Ejecuto otra aplicación como proceso hijo que hereda dicha variable de entorno.

El proceso hijo tiene la función getContent() que obtiene el valor de dicha variable de entorno.

Lo que quiero hacer es modificar el contenido de dicha variable desde el proceso padre justo cuando el proceso hijo llame a getContent.

Quiero ejecutar el proceso hijo en modo debug por así decirlo, poder monitorearlo, y cuando detecte que está llamando a la función getContent, injectarle el código para que setee en la variable de entorno el valor que yo desee.

Mi pregunta es si se puede, cómo puedo ejecutar el proceso hijo en modo monitoreo por decirlo de alguna manera?  y cómo saber desde el proceso padre cuando el puntero de ejecución del proceso hijo por así decirlo está en la entrada de una función específica.

Me encantaría poder aprender a hacer esto.

Hola. Estoy desarrollando un pseudo compilador de archivos batch, con la única novedad de que nunca escribe el código fuente del archivo batch, al disco duro, es decir, lo ejecuta desde la memoria. Lo escribí en c y uso el compilador tiny c 0.9.26 (modificado un poco para que solo haga llamadas a las funciones que uso dentro del código). Hasta ahí todo bien, pero el problema que tengo es que al pasar los ejecutables por virustotal, es detectado por algunos antivirus, y son falso positivos. El problema es mayor cuando inserto dentro del ejecutable archivos cifrados como recursos de tipo RC_DATA.

Quisiera pedir ayuda, por favor para que me puedan orientar primeramente como sacar la detección de AVG: TR/ATRAPS.Gen del ejecutable que no contiene recursos.
Traté de encontrar la forma, pero no pude.

Aquí está el ejecutable (sin recursos), (no hace otra cosa más que copiar cmd.exe a una carpeta temporal, porque no contiene el recurso necesario) pero es del cual necesito ayuda por favor:


el ejecutable con recursos incluidos (sin url) es es detectado como Gen:Trojan.Heur.FU.amW@auBSHQp

Quiero seguir avanzando en este proyecto pero esto me ha detenido y quiero saber cómo puedo sacar la primera detección de AVG, y de paso preguntar alguna sugerencia para insertar resources en un ejecutable y evitar este tipo de problemas.

Hola. Quiero hacer resolver un problema que estoy teniendo con un programa que estoy desarrollando. El archivo no es malicioso, pero AVG me lo detecta como I-Worm/Nuwar.L

Hice varias pruebas, y he concluido que esa falsa detección en el ejecutable no se debe al uso de ninguna función ni de una cadena en específico. La detección se produce en el offset 512. Dónde está el carácter 55.

La única forma de quitar esa detección han sido dos: realinear el archivo a 1024d - 400h usando CFF Explorer y la otra que se me ocurrió sin saber nada de ingeniería inversa, solo sabiendo lo que hace el NOP fue cambiar esa secuencia de bytes:

55 89 e5 81 ec 00 00 00 00 90 8b
por
90 55 89 e5 81 ec 00 00 00 00 8b

y ahora no lo detecta y funciona y mi pregunta es ¿eso puede traer algún efecto negativo en mi aplicación.?

Edit: ahora con esa modificación AVG lo detecta como Generic30.AGPX.dropper