Código [Seleccionar]
http://scan4you.net/
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
Páginas1
#1
Análisis y Diseño de Malware / Re: Multi Engine Antivirus Scanner
12 Junio 2011, 20:24 PM #2
Análisis y Diseño de Malware / Re: Ejecución de Archivos desde Memoria [Base Relocation]
13 Diciembre 2009, 18:55 PM
use VirtualProtect y RtlAdjustTokenPrivileges pero nada.
A que te refieres con el primero o el segundo ejemplo, no se cual es cada uno
De pronto uno es el que llamaste Loader y el otro es el ExecutableRunner, el que carga el loader?
Saludos
A que te refieres con el primero o el segundo ejemplo, no se cual es cada uno
De pronto uno es el que llamaste Loader y el otro es el ExecutableRunner, el que carga el loader?
Saludos
#3
Análisis y Diseño de Malware / Re: Ejecución de Archivos desde Memoria [Base Relocation]
13 Diciembre 2009, 05:36 AM
Estoy viendo con el debbuger y el problema es precisamente eso, no hay permisos, aunque realmente la memoria se esta reservando en el mismo espacio de proceso y estoy obteniendo los permisos "SeDebugPrivilege", "SeCreatePagefilePrivilege", "SeTcbPrivilege"; mediante el uso de OpenProcessToken, LookupPrivilegeValue y AdjustTokenPrivileges. ![:-\](https://forum.elhacker.net/Smileys/navidad/undecided.gif ":-\")
Con respecto al entrypoint lo revise con el PEditor 1.7 y efectivamente si es el entry point correcto.
También escaneo la memoria en la direccion retornada por VirtualAlloc y efectivamente se encuentra el MZ y PE después de haber escrito esa parte en la memoria.
No se que puede ser, que consejos me puedas dar, alguna experiencia similar?
Saludos
Con respecto al entrypoint lo revise con el PEditor 1.7 y efectivamente si es el entry point correcto.
También escaneo la memoria en la direccion retornada por VirtualAlloc y efectivamente se encuentra el MZ y PE después de haber escrito esa parte en la memoria.
No se que puede ser, que consejos me puedas dar, alguna experiencia similar?
Saludos
#4
Análisis y Diseño de Malware / Re: Ejecución de Archivos desde Memoria [Base Relocation]
12 Diciembre 2009, 19:13 PM
Muy bueno el articulo, de veras. Felicitaciones.Estoy teniendo un pequeño problema al intentar saltar a la direccion en memoria con
Código [Seleccionar]
_asm
{
mov eax, AddEntryPoint
call eax
}
o similarmente también:
Código [Seleccionar]
_asm
{
mov eax, AddEntryPoint
push eax
ret
}
Me salta Violación de Acceso (0x0000005 Error), porqué?
Que pena si es un poco tarde para preguntar pero no he podido resolver el problemilla
Páginas1