Problema con RunPE

Iniciado por t4r0x, 12 Noviembre 2014, 18:53 PM

0 Miembros y 1 Visitante están viendo este tema.

t4r0x

Hola a todos, veran tengo un problema con un runpe, yo cargo mi malware usando
CreateProcess (suspendido )luego escribo las secciones con WriteProcessMemory uso GetThreadContext , SetThreadContext y por ultimo ResumeThread hasta ahi todo bien pero ahora estaba cargando un ejecutable que usa GetModuleFileName y el problema es que me retorna la ruta del ejecutable que use como host y no la ruta del programa que cargue dentro de este, como puedo resolver ese problema? espero que me haya dado a entender.

x64core

Cita de: t4r0x en 12 Noviembre 2014, 18:53 PM
Hola a todos, veran tengo un problema con un runpe, yo cargo mi malware usando
CreateProcess (suspendido )luego escribo las secciones con WriteProcessMemory uso GetThreadContext , SetThreadContext y por ultimo ResumeThread hasta ahi todo bien pero ahora estaba cargando un ejecutable que usa GetModuleFileName y el problema es que me retorna la ruta del ejecutable que use como host y no la ruta del programa que cargue dentro de este, como puedo resolver ese problema? espero que me haya dado a entender.
Esa manera de cargar el ejecutable es tan mala y vieja, pero bueno... para resolver lo que quieres debes es actualizar el PEB o redirigir las llamadas que leen esa información ya que GetModuleFileName lo hace o hacer la carga en la memoria correspondiente. mejor carga el ejecutable manualmente resolviendo los todos los directorios que se deba (Importaciones, TLS, relocalizaciones, etc)