últimos mensajes de: Eternal Idol - Página 367

Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

3 Mayo 2024, 12:13 pm

Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET

Mostrar Mensajes
Páginas: 1 ... 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 [367] 368 369 370 371 372 373 374 375 376 377 378 379 380 381

3661	Programación / Ingeniería Inversa / Re: Saber q api's usa el task manager	en: 25 Noviembre 2007, 14:52 pm
Cita de: E0N en 25 Noviembre 2007, 12:44 pm Eternal Idol, a riesgo de meter la pata, NtQuerySystemInformation es una api para ser usada desde el kernel? El que corre el riesgo Si hubieras abierto el WinDbg y hecho lo que comentaba al principio sabrias que es posible modificar esta funcion manualmente incluso. Cita de: E0N en 25 Noviembre 2007, 12:44 pm por q yo en mi msdn no la veo, ademas por google vi esto: Esta indocumentada como casi toda la NTDLL (DLL de modo Usuario). http://undocumented.ntinternals.net/ Cita de: E0N en 25 Noviembre 2007, 12:44 pm De ser para kernel tendré q seguir buscando ya q estoy hookeando en ring 3... Mira mi mensaje anterior: ntdll!ZwQuerySystemInformation: 7c90e1aa b8220000c0 mov eax,0C0000022h 7c90e1af c21000 ret 10h En modo Usuario ZwQuerySystemInformation y NtQuerySystemInformation son la misma direccion (una es alias de la otra). Y lo que hacen es pasar a modo Kernel donde la nt!NtQuerySystemInformation se encargara de retornar los valores que como bien dice lo que citas solo estan disponibles (DIRECTAMENTE) en modo Kernel.

3662	Programación / Ingeniería Inversa / Re: Saber q api's usa el task manager	en: 21 Noviembre 2007, 18:41 pm
Cita de: Karman en 21 Noviembre 2007, 16:55 pm tenía razón Eternal Idol, esa es la función y acá tenés la referencia de como se usa: Me quedo con mi metodo, es mas generico (y mas legal ademas) ya que no solemos contar con el codigo de los programas que queremos analizar.

3663	Programación / Ingeniería Inversa / Re: Saber q api's usa el task manager	en: 21 Noviembre 2007, 13:36 pm
Cita de: E0N en 21 Noviembre 2007, 13:31 pm Gracias a todos Probaré a hookear el api q comentas Eternal Idol a ver si consigo resultados, si no tendre q hacer lo q dice Karman.... Saludos Probalo, el Task Manager (como la mayoria de programas - aunque no directamente -) usa esa funcion para enumerar los procesos.

3664	Programación / Ingeniería Inversa / Re: Saber q api's usa el task manager	en: 21 Noviembre 2007, 12:30 pm
Lo que yo hago normalmente es empezar por lo mas simple. Ver las DLLs y funciones importadas: Dependency Walker. Si con eso somos capaces de identificar las probables despues solo nos queda abrir el WinDbg ... En este caso mi apuesta es por una simple funcion: NtQuerySystemInformation, paso a cambiar su codigo por: ntdll!ZwQuerySystemInformation: 7c90e1aa b8220000c0 mov eax,0C0000022h 7c90e1af c21000 ret 10h Y veo que no se actualiza mas la barra de procesos

3665	Programación / Ejercicios / Re: donde consigo lenguaje assembler	en: 5 Noviembre 2007, 19:57 pm
El lenguaje es assembly y lo que te podes descargar, como ya te dijeron correctamente, es un assembler (programa que ensambla). http://www.masm32.com/ http://flatassembler.net/ http://nasm.sourceforge.net/

3666	Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo.	en: 27 Octubre 2007, 22:10 pm
De nada ►Freeze, para la segunda forma no necesitas usar mas que OpenProcess y GetModuleFileNameEx con 0 como el segundo parametro, ya que como indica la documentacion: hModule [in] Handle to the module. If this parameter is NULL, GetModuleFileNameEx returns the path of the executable file of the process specified in hProcess. Por cierto si necesitas trabajar con servicios habilita el privilegio SE_DEBUG_NAME primero.

3667	Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo.	en: 27 Octubre 2007, 00:31 am
Usa szExePath no szModule.

3668	Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo.	en: 27 Octubre 2007, 00:19 am
Cita de: ►Freeze en 27 Octubre 2007, 00:15 am De este tipo de Apis no se mucho, no entiendo como obtener el Handle. Si usas Module32First no necesitas ningun HANDLE.

3669	Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo.	en: 27 Octubre 2007, 00:07 am
Cita de: ►Freeze en 27 Octubre 2007, 00:04 am Disculpame, podrias aclararme bien como hacelo...? Espero que no sea una molestia La primera forma es exactamente igual que Process* solo que mas simple, no necesitas enumerar todos los modulos, el que te interesa es el primero. Para la segunda necesitas abrir un HANDLE al proceso (OpenProcess) y despues pasarle a GetModuleFileNameEx ese handle como primer parametro, cero como segundo, un puntero a cadena como tercero y el tamaño de la misma como cuarto y ultimo. Hace muchos años que no programo en VB asi que te doy una descripcion teorica, para la primera forma te podes guiar con el codigo que esta arriba, sigue la misma logica.

3670	Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo.	en: 26 Octubre 2007, 23:51 pm
En ese caso podes recurrir a Module32First (el primer modulo siempre es el ejecutable) y el campo szExePath de la estructura MODULEENTRY32. Sino tambien GetModuleFileNameEx ...

Páginas: 1 ... 352 353 354 355 356 357 358 359 360 361 362 363 364 365 366 [367] 368 369 370 371 372 373 374 375 376 377 378 379 380 381

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines