elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


  Mostrar Mensajes
Páginas: 1 ... 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 [19] 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 ... 91
181  Programación / .NET (C#, VB.NET, ASP) / Re: Necesitaria saber como deshabilitar un debugger en: 28 Octubre 2007, 19:22 pm
Podrias usar la API IsDebuggerPresent, pero eso es muy facil de saltar, si lo debugueas con el olly y tene los plug-ins adecuados se lo saltara automaticamente.... :-\
182  Programación / .NET (C#, VB.NET, ASP) / Re: problema con apis... que puedo hacer? en: 28 Octubre 2007, 19:20 pm
Quieres que tu programa detecte si otro programa esta ejecutandose y que tu programa continue al cerrarse el otro??? Si es asi utiliza WaitForSingleObject

Otra cosa, ese error se produce al debugguear tu programa solamente???  :-\ :-\
183  Programación / Programación Visual Basic / Re: Ayuda: Programar módulos para un AV-Killer en: 25 Octubre 2007, 13:36 pm
 :xD :xD :xD :xD :xD ni me habia fijado  :xD  :-\

Buena observación  :)
184  Programación / Programación Visual Basic / Re: Ayuda: Programar módulos para un AV-Killer en: 25 Octubre 2007, 13:25 pm
http://www.kriptopolis.org/jaqueando-vista

Lo lei hace dias y no me acordaba de donde  :xD
185  Programación / Programación Visual Basic / Re: Ayuda: Programar módulos para un AV-Killer en: 24 Octubre 2007, 22:56 pm
Cita de: Eternal Idol link=topic=184050.msg882166#msg882166
Un driver de verdad
[/quote

Con driver de verdad te refieres a un driver firmado????
186  Programación / Programación Visual Basic / Re: Ayuda: Programar módulos para un AV-Killer en: 24 Octubre 2007, 22:43 pm
Ok, asi que no hay posibilidad de que el driver se "termine" el mismo, no??

Bueno, no hace falta  ;)

Gracias Eternal  ;)
187  Programación / Programación Visual Basic / Re: Ayuda: Programar módulos para un AV-Killer en: 24 Octubre 2007, 22:22 pm
Si, ya sabia que no era el PID, aunque lo llame asi por llamarlo de algun modo  :)

Por cierto eternal, el IoDeleteDriver, que le tengo que pasar para terminar el proceso de mi driver??? el PEPROCESS?? En google no me sale eso  :-\ ademas, en otros codigos vi que utilizaban el IoDeleteSymbolicLink, pero tampoco se que pasarle....

Muchas gracias a los 2  :)
188  Programación / Programación Visual Basic / Re: Ayuda: Programar módulos para un AV-Killer en: 24 Octubre 2007, 22:10 pm
Por fin lo e cargado.... :xD :xD Me a dado esto:

Citar
Driver cargado
Mi PID es: 86FC69C8h
La direccion de zwopenprocess es: 80552568h

Por lo que se puede ver que zwopenprocess no esta hookeada, y yo me pregunto, se puede hacer el proceso inverso??? es decir, sacar desde la funcion el nombre de esta funcion??? para asi "rastrear" la SSDT para buscar que apis estan hookeadas???

En el post que trabajasteis el sexe vi que el tio que tambien participaba tenia un programa para ver que API's estaban hookeadas por el sexe, este porgrama qual es???

Por si te sirve de algo, aqui te dejo el dumpeado de la SSDT:

Citar
lkd> dd 868a2588
868a2588  80598746 805e5914 805e915a 805e5946
868a2598  805e9194 805e597c 805e91d8 805e921c
868a25a8  8060a880 8060b5d2 805e0cac 805e0904
868a25b8  805c9928 805c98d8 8060aea6 805aa334
868a25c8  8060a4be 8059cbbc 805a4786 805cb406
868a25d8  804feed0 8060b5c4 8056ae64 805343f2
868a25e8  80603b90 aae47aa0 805e9694 80618a56
868a25f8  805edb86 80598e34 80618caa 805986e6

Un Saludo  :)
189  Programación / Programación Visual Basic / Re: Ayuda: Programar módulos para un AV-Killer en: 24 Octubre 2007, 21:48 pm
Haber, ahora ya estoy en casa, e intentado hacer practicas y tengo un fallo (ya sabia que lo tendria), aqui el codigo:

Código
  1. format PE native
  2.  
  3. entry DriverEntry
  4.  
  5. include 'INCLUDE\win32a.inc'
  6. include 'INCLUDE\ddk\structs.inc'
  7. include 'INCLUDE\ddk\ntddk.inc'
  8. include 'INCLUDE\ddk\ntstatus.inc'
  9. include 'INCLUDE\ddk\native_api.inc'
  10. include 'INCLUDE\ddk\stuff.inc'
  11.  
  12.  
  13.  
  14. section '.c' code readable writeable executable
  15.  
  16. proc GetAddr n
  17.      mov eax, 4
  18.      mov ecx,[n]
  19.      mul ecx
  20.      mov ecx,[KeServiceDescriptorTable]  ;LocaLizar KiServiceTable //Aqui el fallo
  21.      mov ecx,[ecx]                       ;KierviceTable
  22.      add eax,ecx
  23.      ret
  24. endp
  25.  
  26. proc DriverEntry DriverObject, rp
  27.      push msg
  28.      call [DbgPrint]
  29.      call [IoGetCurrentProcess]
  30.      push eax
  31.      push msg3
  32.      call [DbgPrint]
  33.      push 7ah    ; Numero de la funcion
  34.      call GetAddr
  35.      push eax
  36.      push msg4
  37.      call [DbgPrint]
  38.      mov eax,STATUS_SUCCESS
  39.      ret
  40. endp
  41.  
  42. section '.d' data readable writeable
  43.  
  44. msg  db 'Driver cargado',0
  45. msg3 db 'Mi PID es: %Xh',0
  46. msg4 db 'La direccion de zwopenprocess es: %Xh',0
  47.  
  48. data import
  49.  
  50. syslibrary ntoskrnl,'ntoskrnl.exe'
  51.  
  52. import ntoskrnl,DbgPrint,'DbgPrint',\
  53.                 IoGetCurrentProcess,'IoGetCurrentProcess'
  54.  
  55.  
  56. end data
  57.  
  58. section '.reloc' data fixups readable discardable

El fallo es en la linea que marque, se supone que se tiene que "declarar" o algo, no??? e estado mirando otros codigos aprecidos (http://www.rohitab.com/discuss/index.php?showtopic=17892&mode=threaded&pid=10020467) y tampoco se declara....Sacame de dudas Mek  :xD
190  Programación / Programación Visual Basic / Re: Ayuda: Programar módulos para un AV-Killer en: 24 Octubre 2007, 20:33 pm
intentare pasar sin, con el Debugger ese (no me acuerdo como se llama)
Páginas: 1 ... 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 [19] 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 ... 91
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines