elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación C/C++ (Moderadores: Eternal Idol, Littlehorse, K-YreX)
| | |-+  CreateRemoteThread Duda
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: CreateRemoteThread Duda  (Leído 1,886 veces)
Roast D

Desconectado Desconectado

Mensajes: 22


Ver Perfil
CreateRemoteThread Duda
« en: 24 Febrero 2017, 00:21 am »

Esta api tiene com parametro de entrada algo llamado LoadLibrary que creo que es una direccion de memoria de una funcino del kernel32 que se llama LoadLibraryA. En la api dice que ese es el punto donde se ejecuta el hilo. Alguien podria explicarme como funciona eso y para que se usa.


En línea

ivancea96


Desconectado Desconectado

Mensajes: 3.412


ASMático


Ver Perfil WWW
Re: CreateRemoteThread Duda
« Respuesta #1 en: 24 Febrero 2017, 10:10 am »

Sus parámetros son:
Código
  1. HANDLE WINAPI CreateRemoteThread(
  2.  _In_  HANDLE                 hProcess,
  3.  _In_  LPSECURITY_ATTRIBUTES  lpThreadAttributes,
  4.  _In_  SIZE_T                 dwStackSize,
  5.  _In_  LPTHREAD_START_ROUTINE lpStartAddress,
  6.  _In_  LPVOID                 lpParameter,
  7.  _In_  DWORD                  dwCreationFlags,
  8.  _Out_ LPDWORD                lpThreadId
  9. );

¿De cuál hablas? Todos están aquí explicados: https://msdn.microsoft.com/es-es/library/windows/desktop/ms682437(v=vs.85).aspx


En línea

Roast D

Desconectado Desconectado

Mensajes: 22


Ver Perfil
Re: CreateRemoteThread Duda
« Respuesta #2 en: 24 Febrero 2017, 17:15 pm »

Sus parámetros son:
Código
  1. HANDLE WINAPI CreateRemoteThread(
  2.  _In_  HANDLE                 hProcess,
  3.  _In_  LPSECURITY_ATTRIBUTES  lpThreadAttributes,
  4.  _In_  SIZE_T                 dwStackSize,
  5.  _In_  LPTHREAD_START_ROUTINE lpStartAddress,
  6.  _In_  LPVOID                 lpParameter,
  7.  _In_  DWORD                  dwCreationFlags,
  8.  _Out_ LPDWORD                lpThreadId
  9. );

¿De cuál hablas? Todos están aquí explicados: https://msdn.microsoft.com/es-es/library/windows/desktop/ms682437(v=vs.85).aspx


_In_  LPTHREAD_START_ROUTINE lpStartAddress

Estoy inyectando dll por este metod. Ese parametro es una direccion de memoria donde se inicia el hilo. Pero la direccion de memoria que pasan a ese parametro para hacer la inyeccion es, la de una funcion del kernel32.dll especificamente load library. Esto lo definen con getprocessadres. Porque se da inicio al hilo en esa direccion de memoria ?
En línea

ivancea96


Desconectado Desconectado

Mensajes: 3.412


ASMático


Ver Perfil WWW
Re: CreateRemoteThread Duda
« Respuesta #3 en: 24 Febrero 2017, 17:27 pm »

No lo puedo asegurar, tendría que ver el código, pero puedo intuir que:

Comenzando en esa dirección de memoria, lo que logra es llamar a esa función. El primer parámetro de esa función, es una cadena con la ruta de la DLL, así que de lpParameter le pasará la ruta (del modo que sea). De este modo, logra que el proceso cargue la DLL.

Si tienes ahí el código, comprueba si es así lo que digo. O sinó, pon aquí el código que afecte a lo dicho.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Denegar CreateThread, CreateremoteThread
Programación Visual Basic
XP. 1 1,699 Último mensaje 4 Diciembre 2006, 19:20 pm
por sch3m4
Pequeña duda con un comando batch (NUEVA DUDA RELACIONADA)
Scripting
revenge1252 9 10,296 Último mensaje 13 Febrero 2008, 21:41 pm
por revenge1252
CreateRemoteThread multiple params
Programación Visual Basic
cobein 2 1,730 Último mensaje 13 Abril 2008, 17:27 pm
por cobein
inyeccion dll "sin" CreateRemoteThread.
Análisis y Diseño de Malware
bizco 8 6,656 Último mensaje 17 Mayo 2010, 01:50 am
por bizco
Problema con CreateRemoteThread y Win7 64 bits??
Programación C/C++
APOKLIPTICO 3 3,010 Último mensaje 24 Noviembre 2012, 19:46 pm
por x64core
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines