elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


  Mostrar Mensajes
Páginas: 1 ... 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 [372] 373 374 375 376 377 378 379 380 381 382 383 384 385 386
3711  Programación / Ingeniería Inversa / Re: Saber q api's usa el task manager en: 21 Noviembre 2007, 18:41 pm
Cita de: Karman en 21 Noviembre 2007, 16:55 pm
tenía razón Eternal Idol, esa es la función y acá tenés la referencia de como se usa:

Me quedo con mi metodo, es mas generico (y mas legal ademas) ya que no solemos contar con el codigo de los programas que queremos analizar.
3712  Programación / Ingeniería Inversa / Re: Saber q api's usa el task manager en: 21 Noviembre 2007, 13:36 pm
Cita de: E0N en 21 Noviembre 2007, 13:31 pm
Gracias a todos ;)

Probaré a hookear el api q comentas Eternal Idol a ver si consigo resultados, si no tendre q hacer lo q dice Karman....

Saludos

Probalo, el Task Manager (como la mayoria de programas - aunque no directamente -) usa esa funcion para enumerar los procesos.
3713  Programación / Ingeniería Inversa / Re: Saber q api's usa el task manager en: 21 Noviembre 2007, 12:30 pm
Lo que yo hago normalmente es empezar por lo mas simple.

Ver las DLLs y funciones importadas: Dependency Walker.

Si con eso somos capaces de identificar las probables despues solo nos queda abrir el WinDbg ...

En este caso mi apuesta es por una simple funcion: NtQuerySystemInformation, paso a cambiar su codigo por:

ntdll!ZwQuerySystemInformation:
7c90e1aa b8220000c0      mov     eax,0C0000022h
7c90e1af c21000          ret     10h

Y veo que no se actualiza mas la barra de procesos  ;D
3714  Programación / Ejercicios / Re: donde consigo lenguaje assembler en: 5 Noviembre 2007, 19:57 pm
El lenguaje es assembly y lo que te podes descargar, como ya te dijeron correctamente, es un assembler (programa que ensambla).

http://www.masm32.com/
http://flatassembler.net/
http://nasm.sourceforge.net/
3715  Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo. en: 27 Octubre 2007, 22:10 pm
De nada ►Freeze, para la segunda forma no necesitas usar mas que OpenProcess y GetModuleFileNameEx con 0 como el segundo parametro, ya que como indica la documentacion:

hModule
[in] Handle to the module. If this parameter is NULL, GetModuleFileNameEx returns the path of the executable file of the process specified in hProcess.

Por cierto si necesitas trabajar con servicios habilita el privilegio SE_DEBUG_NAME primero.
3716  Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo. en: 27 Octubre 2007, 00:31 am
Usa szExePath no szModule.
3717  Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo. en: 27 Octubre 2007, 00:19 am
Cita de: ►Freeze en 27 Octubre 2007, 00:15 am
De este tipo de Apis no se mucho, no entiendo como obtener el Handle. :( :( :(

Si usas Module32First no necesitas ningun HANDLE.
3718  Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo. en: 27 Octubre 2007, 00:07 am
Cita de: ►Freeze en 27 Octubre 2007, 00:04 am
Disculpame, podrias aclararme bien como hacelo...?

Espero que no sea una molestia :(

La primera forma es exactamente igual que Process* solo que mas simple, no necesitas enumerar todos los modulos, el que te interesa es el primero.

Para la segunda necesitas abrir un HANDLE al proceso (OpenProcess) y despues pasarle a GetModuleFileNameEx ese handle como primer parametro, cero como segundo, un puntero a cadena como tercero y el tamaño de la misma como cuarto y ultimo.

Hace muchos años que no programo en VB asi que te doy una descripcion teorica, para la primera forma te podes guiar con el codigo que esta arriba, sigue la misma logica.
3719  Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo. en: 26 Octubre 2007, 23:51 pm
En ese caso podes recurrir a Module32First (el primer modulo siempre es el ejecutable) y el campo szExePath de la estructura MODULEENTRY32. Sino tambien GetModuleFileNameEx ...
3720  Programación / Programación Visual Basic / Re: Averiguar proceso de un archivo. en: 26 Octubre 2007, 08:03 am
Una breve acotacion: el parent no es 100% confiable ya que los PIDs se reciclan.
Páginas: 1 ... 357 358 359 360 361 362 363 364 365 366 367 368 369 370 371 [372] 373 374 375 376 377 378 379 380 381 382 383 384 385 386
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines