Inyección de archivos en un proceso [1 proceso 2 ejecutables]

[Zero] · 8 Enero 2010, 18:17 PM

Que detecten el código es lo de menos, la idea ya no nos la pueden quitar, y la idea de puede escribir de mil formas diferentes

.

Lo que si tengo ganas de ver es un antivirus que mate el explorer cada vez que nos inyectamos

.

Saludos

[L]ord [R]NA · 8 Enero 2010, 20:04 PM

Cita de: Hacker_Zero en 8 Enero 2010, 18:17 PM
Que detecten el código es lo de menos, la idea ya no nos la pueden quitar, y la idea de puede escribir de mil formas diferentes .

Lo que si tengo ganas de ver es un antivirus que mate el explorer cada vez que nos inyectamos .

Saludos

mmm no podias decir simplemente Obfuscar?

[Zero] · 8 Enero 2010, 20:49 PM

Bueno, hoy haciendo una cosilla con éste code me di cuenta de que cometí algunos errores

. Uno aquí:

Código (cpp) [Seleccionar]


miByte=1; //<<<<------ Habrá que inicializara a 1 ese byte no? sino pasan cosas malas xD
//Obtenemos la longitud del nombre de la API
for(int i=0;miByte;i++)
{
 szName=i;
 LPSTR puntero=ExeBuffer+ITD->u1.Function+2;
 puntero+=i;
 ReadProcessMemory(hProcess,puntero,&miByte,1,0);
}

Lo cambié ya en el post principal, y hay otro error, pero no lo voy a corregir

.

Está cuando el ejecutable trata de cargar la IAT (voy a ser bueno y voy a marcar la zona donde está), es una metedura de pata bastante gorda así que quien sepa de que va la IAT debería ser quien de arreglarlo, y quien no, demuestra que debe leerse más sobre el tema antes de usar el código

.

Tal y como está sólo carga bien una API por DLL

Saludos

Jaixon Jax · 8 Enero 2010, 20:57 PM

CitarLo cambié ya en el post principal, y hay otro error, pero no lo voy a corregir .

$:-\$ jaja no todo en la vida es facil XD

[Zero] · 8 Enero 2010, 20:59 PM

Bueno, marqué la línea exacta donde está la zancada, y lo subrayado de arriba da una buena pista jeje. Así nos aseguramos de que no pase lo que pasó con el famoso "RunPE"

.

Saludos

Edito: Aún sin corregirlo alguien puede ser ~~ingenioso~~ chapuzas y hacer que el exe que inyecte sólo importe GetProcAdress y el resto ya lo va cargando con esa

.

[L]ord [R]NA · 8 Enero 2010, 21:19 PM

Cita de: Hacker_Zero en 8 Enero 2010, 20:59 PM
Bueno, marqué la línea exacta donde está la zancada, y lo subrayado de arriba da una buena pista jeje. Así nos aseguramos de que no pase lo que pasó con el famoso "RunPE" .

Saludos

Edito: Aún sin corregirlo alguien puede ser ~~ingenioso~~ chapuzas y hacer que el exe que inyecte sólo importe GetProcAdress y el resto ya lo va cargando con esa .

mmm para que voy a cargar una API en la IAT... vivan los ShellCode!!!

E.P.I. · 8 Enero 2010, 23:09 PM

Argh!!!!! Sí señor Hacker_Zero es el mejor!!! Perdón... ya me hablaste de algó así... yo no lo entendía pero ahora sí!!! Qué guapo el code!!! Muchísimas gracias por todo!!!!

PD: Y a estudiarlo!!!

[L]ord [R]NA · 9 Enero 2010, 00:20 AM

Cita de: E.P.I en 8 Enero 2010, 23:09 PM
Argh!!!!! Sí señor Hacker_Zero es el mejor!!! Perdón... ya me hablaste de algó así... yo no lo entendía pero ahora sí!!! Qué guapo el code!!! Muchísimas gracias por todo!!!!

PD: Y a estudiarlo!!!

Proximamente E.P.I. hara un grupo en FaceBook (CHZ)... Culto a Hacker Zero

E.P.I. · 9 Enero 2010, 15:10 PM

Cita de: R.N.A. en 9 Enero 2010, 00:20 AM
Cita de: E.P.I en 8 Enero 2010, 23:09 PM
Argh!!!!! Sí señor Hacker_Zero es el mejor!!! Perdón... ya me hablaste de algó así... yo no lo entendía pero ahora sí!!! Qué guapo el code!!! Muchísimas gracias por todo!!!!

PD: Y a estudiarlo!!!

Proximamente E.P.I. hara un grupo en FaceBook (CHZ)... Culto a Hacker Zero

¿A si? A sí... vale, pero tu haces de administrador.

E.P.I. · 9 Enero 2010, 16:04 PM

Bueno, pues lo prometido es deuda: Grupo en Twitter, culto a Hacker_Zero.
No lo he hecho en FaceBook por una cuestión de nombres y tal... RNA, tu tienes que ser el admin!