Mensajes

al final en que ha quedado este tema, yo se qe hay partes importantes de la cabesa PE desp de que la dll se haya cargado, como la IAT y la EAT no entonces quisiera estar seguro de lo que se puede borrar de la cabesa pe desp de que la dll se haya cargado, lo mismo de quitar la ccabesa msdos

estuve provando un cheat en el counter strike y desp de un rato me lo crashea y todavia no se porque pero queria atachar el olly y lo puse como debugger jit predeterminado y no pasa nada. desp lo puse el juego y atacho el olly y pongo run, y sigo con el juego y crashean los dos el juego y el olly, com puedo hacer para debugar el cheat si todo se crashea  como deberia hacer

hola quiero aportar otras informasiones al foro, este manual de matt pietrek en formato .doc si alguno lo necesita

http://rapidshare.com/files/88698870/PE.rar.html

estos son los links de las imágenes de los textos
http://riperos.awardspace.com/documents/figures1.php
http://riperos.awardspace.com/documents/figures2.php

este libro tmb creo que me puede ayudar mucho a aprender la programación en modo kernel



http://rapidshare.com/files/84362537/Rootkits_Subverting_the_Windows_Kernel.rar.html

ese que daba shadowdarck que venia con algunos plugins

en este link te he subido el yoda crypter y el yoda protector, los dos los uso para mis archivos pero no se bien todas las funciones....
http://rapidshare.com/files/84332849/toolz.rar.html


el programa borra la cabecera PE, pero en el codigo que te he mostrado dice que pone los bytes a 0 supongo que es lo mismo, pero suena distinto igual..... pero la finalidad de ese codigo es que cuando la dll se ha inyectado (ya inyectada en el proceso), justo en ese momento  se borra la PE header de la dll y eso segun lo que tengo entendido la hace indetectable entre otras cosas............. pero entonces supongo que borrando la PE header con este programa no serviria ya que si inyecto la dll sin pe header no va a andar pero ahora voy a hacer las pruebas, igualmente tengo mis dudas.. el codigo del que hablo es en este post http://foro.elhacker.net/index.php/topic,194597.0.html saludetes

hola, my olly debugger dice estoo


es un problema, y puede ser que no se esten cargando tdos los componentes del olly, es el olly que me baje de este foro 

ok, entonces borrar la cabecera pe es poner los bytes a 0 no, es como me lo explicaban en este post, por eso lo que yo quiero es saber la diferencia entre hacerlo con un codigo automaticamente, o usando un programa como este mira, ves que te da esas opciones................. pero solo digo de la pe header

mejor dicho la diferencia entre borrar la cabecera PE y modificar datos de ella, pero ambas formas por medio de programarlo, no de usar un programa como esos que dices, entonces que diferencias hay

hola como nadie me responde  estuve buscando por mi propia cuenta y he encontrado este libro que ya lo estuve mirando y creo que me puede servir mucho, sin embargo me agradaria que me respondieran alguna ayuda, gracias

Microsoft_Windows_Internals - the book you must read



Microsoft® Windows® Internals, Fourth Edition: Microsoft Windows Server™ 2003, Windows XP, and Windows 2000
By Mark E. Russinovich, David A. Solomon
...............................................
Publisher: Microsoft Press
Pub Date: December 08, 2004
ISBN: 0735619174
Pages: 976

OVERVIEW

The premier guide to the Windows kernel now covers Windows Server 2003, Windows XP, and Windows 2000, including 64-bit extensions. Get the architectural perspectives and insider insights needed to unlock the power of Windows.

------------------------------

http://rs250.rapidshare.com/files/74779556/Microsoft_Windows_Internals.rar