En un rato me pongo a investigar, despues les cuento  

EDITO: El ejecutable que me hacia saltar la alarma del Avast no hace saltar la alarma en la pc de casa, pero si en la del trabajo.. Ambos son Avast, es mas, el de casa es mas nuevo, sera que detecta que el programa no es malicioso en realidad? Digo, hacer una inyeccion no tiene que ser algo malo siempre, no? Bueno, veo si hago otro ejecutable que haga que salte la alarma o dejo para el lunes en la pc del trabajo..

Saludos!

Bueno, me gusto el reto.. lo voy a intentar de las dos formas si es necesario,, con Procmon parece ser mas sencillo, pero por si las dudas,, si creo las imagenes del disco, cual seria el mejor metodo para compararlas? Tiene pinta de llevar mucho tiempo/trabajo eso jeje igual, lo puedo intentar.. pero,, con las herramientas adecuadas, el trabajo es mas sencillo 

Se podría debuggear no? Agrego uno a la lista cuando sale la ventanita que pregunta que quiero hacer (Baúl o agregar a excepciones) y ver que pasa.. no? deben tener alguna seguridad anti debugger, supongo..

Saludos!

Gracias Amigo! 

Ni me lo detecto como malware, ni funciono tampoco jaja el programa carga y todo, pero no funcionan los métodos.. igual bien dijiste, sirve para sacar ideas 

Gracias!! Saludos!

Bueno, acá molestando otra vez..

Ustedes creen que sea posible agregar un programa a la lista de exclusiones del AV con código? Digo yo, en algún lugar se debe guardar esa lista, probablemente cifrada, pero si suponemos ejecutar un código que burle la 1º seguridad del AV, y agregue ciertos programas a la lista,, esos podrían hacer mayores cosas,, no?

Saludos!

Wow.. acá vale unos 90 dolares (la B, sin transformador ni nada, solo la placa), es el equivalente a 6 días de trabajo, en un trabajo no muy bien pago..

Yo estoy esperando el aguinaldo para encargar una en Amazon o eBay.. Alguna sugerencia con respecto a pedir del exterior? Las he visto por 41 dolares, es menos de la mitad de lo que vale acá, si la aduana no me da problemas, en enero la tengo en mis manos 

Ajajajaja sep.. tenes razón.. no me percate que al liberar la consola, ya no soy la ventana activa.. 

Saludos!

Al usar estas dos sentencias juntas oculta la consola, la carpeta y todo lo que este a su paso 

mmm... interesante.. evidentemente tiene que haber un propósito para inyectar una dll,, no creo que sea coincidencia que lo hagan varios antivirus,, probablemente esa dll pueda resolver mejor que es lo que esta haciendo el ejecutable en todo momento, no se, se me ocurre por estar inyectada en el mismo ejecutable.. Hay algo que nunca entendí, no es posible "atacar" al mismo antivirus y desactivar algún modulo? Por ejemplo la inyección? Claro, eso debería ser en Ring0.. pero se tiene que poder, no?

Supongamos este proceso:

1) Archivo Malo.exe analiza el SO y el AV instalados..
2) Malo.exe procede a descargar un modulo de kernel acorde al SO y al AV desde un servidor X
3) Malo.exe ahora instala los módulos de kernel necesarios (Rootkits podríamos decir)
4) Malo.exe descarga otro archivo, "Malo2.exe", este archivo queda oculto por el/los Rootkits antes instalado.
5) Malo.exe se elimina, o queda a la espera de una nueva victima.. (Como guste mas)

Bueno, si Malo.exe es indetectado, lo demás es mas sencillo,, dedicarle tiempo a los módulos de kernel, hacer uno por SO y AV posibles (de los mas usados, claro)

Que les parece?