cambiar localización de un proceso

Borito30 · 29 Noviembre 2016, 15:39 PM

Es posible cambiar la localización de un proceso¿?¿?¿??¿? es decir cuando abro la localización del proceso me manda a la ruta del fichero es posible mandar a otra ruta diferente en mi pc?¿

xiruko · 29 Noviembre 2016, 15:45 PM

Hola,

Sí, es posible. No sé qué función usa Windows para determinar la localización de un proceso en el sistema de archivos, pero si tú la sabes podrías hacerle un hook y ejecutar tu propio código cada vez que se llamara a esa función, por lo que podrías hacer que devolviera una ruta diferente a la inicial. Busca en Google sobre Api hooking para más información, hay muchos ejemplos.

Saludos!

engel lex · 29 Noviembre 2016, 18:13 PM

Viendo tus temas pasados te lo responderé simple... es más fácil hacer que el proceso no se muestre en el tskmgr

Borito30 · 30 Noviembre 2016, 10:43 AM

Cita de: engel lex en 29 Noviembre 2016, 18:13 PM
Viendo tus temas pasados te lo responderé simple... es más fácil hacer que el proceso no se muestre en el tskmgr

de momento solo conozco para 32 bits y bueno hay por ahí en github algun que otro proyecto que aprovechan cierto exploits para invisibilizarse en el taskmgr. Pero como no tengas permisos de administrador lo llevas dificil.

Además si me quiero ocultar del taskmgr pa eso me hago una dll y me pongo en el dllhost.exe como todos bichos que aparecen ahora poweliks y dridex y voy migrando de procesos y es lo más sigiloso. Y uso reflective dll injection para inyectar en 32 o 64 bits como toda la amalgama de malware que sale ultimamente. Pero bueno era simplemente también por curiosidad.

[Arg] $triker; · 30 Noviembre 2016, 16:18 PM

Cita de: omar-espanol en 30 Noviembre 2016, 10:43 AM
de momento solo conozco para 32 bits y bueno hay por ahí en github algun que otro proyecto que aprovechan cierto exploits para invisibilizarse en el taskmgr. Pero como no tengas permisos de administrador lo llevas dificil.

Además si me quiero ocultar del taskmgr pa eso me hago una dll y me pongo en el dllhost.exe como todos bichos que aparecen ahora poweliks y dridex y voy migrando de procesos y es lo más sigiloso. Y uso reflective dll injection para inyectar en 32 o 64 bits como toda la amalgama de malware que sale ultimamente. Pero bueno era simplemente también por curiosidad.

¿Qué dice?

La ubicación del proceso es la ubicación del ejecutable al que pertenece... si cambiás la ubicación del ejecutable, se cambia la ubicación a la que lleva ese botón. Mientras un ejecutable esté corriendo, no se puede operar con él.

MCKSys Argentina · 30 Noviembre 2016, 16:25 PM

Cita de: EagleStrike en 30 Noviembre 2016, 16:18 PM
¿Qué dice?

La ubicación del proceso es la ubicación del ejecutable al que pertenece... si cambiás la ubicación del ejecutable, se cambia la ubicación a la que lleva ese botón. Mientras un ejecutable esté corriendo, no se puede operar con él.

Creo que está intentando cambiar el path que aparece en memoria cuando se corre un exe. No estoy seguro de dónde está esa info, pero creería que está en el kernel, por lo que sería altamente improbable ocultar el path de un taskman "como la gente" (léase Process Explorer). Digo, por si piensan en usar API hooking. Contra un driver no tiene efecto.

Saludos!

Test Foro de elhacker.net SMF 2.1

cambiar localización de un proceso

Borito30

xiruko

engel lex

Borito30

[Arg] $triker;

MCKSys Argentina