A Dios no le gusta que modifiques explorer.exe

Iniciado por Usuario887, 16 Noviembre 2021, 18:24 PM

0 Miembros y 2 Visitantes están viendo este tema.

Usuario887

Hola,

Con Dios me refiero al loader de Windows.

Bueno, es una pregunta rapida: Modifique "Un poquis" explorer.exe. La cosa es que ya no me arranca  :xD

Me asegure de cambiar DLL Characteristics en el Optional Header del ejecutable para que no se forzaran chequeos de integridad, y tambien calcule el checksum.

¿Hay algo de lo que me estoy perdiendo?

¿Es que Dios no lee DLL Characteristics?  :-(




PD: Corria bien en el depurador.

apuromafo CLS

explorer.exe funciona en el equipo y si buscas alternativas comienza por otros programas que hagan esa integración

https://www.softzone.es/programas/sistema/mejores-alternativas-explorador-archivos-windows/

si buscas hacer tampering/modificaciones en explorer, lo menos que debes saber es que tiene a mucho interactuando con el,

personalmente en exploracion de archivos y directorios prefiero winrar, es mas potente, no se tu, pero todos tenemos la opción de elegir, antiguamente usaba total commander, es bien accesible en precio y uso.

Saludos Cordiales.

Usuario887

#2
Cita de: apuromafo CLS en 16 Noviembre 2021, 19:13 PM
si buscas hacer tampering/modificaciones en explorer, lo menos que debes saber es que tiene a mucho interactuando con el,

Hola, gracias por responder.

No se a que te refieres con esto, pero las modificaciones que le hice no fueron por tema de interfaz grafica ni nada por el estilo.

Sere mas especifico: Modifique la sección de codigo del binario para que hiciera logs de ciertas cosas y funciona bien, pero cuando reemplazo a explorer.exe por el explorer.exe modificado, el linker dinamico no lo mapea en memoria. Sospecho que se debe al catalogo de Windows o a algun tipo de signatures que no conozco.

Es decir, explorer.exe (modificado) se carga en memoria solo cuando hay otro explorer.exe (de serie) ya cargado en memoria.

No puedo usar WinRAR u otros porque no tendria sentido...

Gracias por tu ayuda de todas formas.




PD: Insisto en que especifique en los flags del PE que no hiciera chequeos de integridad, pero parece que el loader de Windows los hace a la fuerza cuando lo llama el sistema (Al encendido).

Serapis

#3
Recuerda que windows tiene el SFC (System File Checker)... que opera en tiempo real. deberías revisar el sfcfiles.dll...
Si por ejemplo eliminas x dll de windows, la rescata de alguna carpeta donde tiene copia (por ejemplo en XP (creo que operas con XP, no?), se suelen localizar en servicepackfiles, dllcache, prefetch o incuso puede que de algún 'cabinet'...)
Si cambias todas las copias al únísono (esto es, offline), no tendrá de donde reponer la copia adecuada, lo que no quita que el sistema sepa que esa librería no es genuina. Es preferible que antes de eliminarlas las comprimas en un fichero con contraseña manteniendo las rutas de procedencia.

Y sí, un S.O. hace bien en asugrarse que las dll que tiene no son suplantadas. De hecho debiera ser más estrictos (en mi opinión). No es tanto porque uno no pueda hacer sus cambios en sus equipos, si no para que nadie pudiera hacer cambios en esos equipos que no son suyos.

Ultimamente preguntas mucho sobre PE, te recomiendo el libro:
"Linkers and Loaders" de John R. Levine.

p.d.:
Por supuesto, hay posibilidades de que el cambio que realizas inutilice alguna funcionalidad (en vez del cambio esperado), incluso el arranque si éste es dependiente de ello.

Usuario887

Cita de: Serapis en 17 Noviembre 2021, 14:01 PM
Recuerda que windows tiene el SFC (System File Checker)

Lo sabia.



Me lo esperaba. A eso me referia con el catalogo de Windows.

CitarSi cambias todas las copias al únísono (esto es, offline), no tendrá de donde reponer la copia adecuada, lo que no quita que el sistema sepa que esa librería no es genuina. Es preferible que antes de eliminarlas las comprimas en un fichero con contraseña manteniendo las rutas de procedencia.

No es necesario. Hago copias de seguridad del disco cuando me pongo a manosear estas cosas asi que no problem con las incoincidencias.

CitarY sí, un S.O. hace bien en asugrarse que las dll que tiene no son suplantadas. De hecho debiera ser más estrictos (en mi opinión). No es tanto porque uno no pueda hacer sus cambios en sus equipos, si no para que nadie pudiera hacer cambios en esos equipos que no son suyos.

Entiendo que sospeches  :xD

CitarUltimamente preguntas mucho sobre PE, te recomiendo el libro:
"Linkers and Loaders" de John R. Levine.

Gracias. La verdad no he encontrado mucha informacion ahora que lo mencionas. Al menos no respecto a mis preguntas en concreto.

Un saludo y buenas noches.