Mensajes

GetVersion/Ex.

Las mejores herramientas de depuracion para Windows (sic): Debugging Tools for Windows.

Rozor te dejo una pista asi dejas de hacer el ridiculo: STDCALL.

Osea algo del tipo, haganme lo k yo no se hacer...

Enfin...

Claro, pero por suerte esta el gran Tughack que seguro si lo sabe hacer ...

Eso SOLO funciona (en XP o superiores ya que sc no esta en anteriores versiones de Windows) si el servicio/driver tiene implementada la funcion de stop/unload.

Lo detecta simplemente abriendo la carpeta en la que está el programa, no hace falta ni que lo escanee 

El mío se llama MSNFake.exe y he probado a ponerle otro nombre pero lo detecta igualmente.

Entonces seguramente sea un analisis estatico, puede que tengas dentro las cadenas "fake" y "msn"  - en los recursos de version por ejemplo - Trata de reproducir el programa, agregando de una en una sus funcionalidades hasta que lo detecte ...

[6.00 operating system version 6.00 image version 6.00 subsystem version]

dumpbin calc.exe /headers
Microsoft (R) COFF/PE Dumper Version 8.00.50727.42
Copyright (C) Microsoft Corporation.  All rights reserved.


Dump of file c:\windows\system32\calc.exe

PE signature found

File Type: EXECUTABLE IMAGE

FILE HEADER VALUES
             14C machine (x86)
               4 number of sections
        4549B0BE time date stamp Thu Nov 02 09:47:58 2006
               0 file pointer to symbol table
               0 number of symbols
              E0 size of optional header
             102 characteristics
                   Executable
                   32 bit word machine

OPTIONAL HEADER VALUES
             10B magic # (PE32)
            8.00 linker version
           12E00 size of code
           18800 size of initialized data
               0 size of uninitialized data
           126FE entry point (010126FE) _WinMainCRTStartup
            1000 base of code
           14000 base of data
         1000000 image base (01000000 to 0102DFFF)
            1000 section alignment
             200 file alignment
            6.00 operating system version
            6.00 image version
            6.00 subsystem version
               0 Win32 version
           2E000 size of image
             400 size of headers
           39B6F checksum
               2 subsystem (Windows GUI)
            8140 DLL characteristics
                   RESERVED - UNKNOWN
                   NX compatible
                   Terminal Server Aware
           40000 size of stack reserve
            2000 size of stack commit
          100000 size of heap reserve
            1000 size of heap commit
               0 loader flags
              10 number of directories

Si cambias ese 6 por un 5 el error ese ya no se producira, aunque los dos programas que probe (calc y notepad) tienen funciones importadas que no existen en XP asi que tampoco cargan pero muesta otro error.

Los depuradores no te sirven (directamente) en este caso ya que la imagen es rechazada por el mismo loader, tendrias que depurar el loader (bajo el contexto del depurador) o para hacerla mas simple ejecutarlo desde cmd y depurar cmd.

¿Cuando lo detecta? ¿Al ejecutar o al scannear? Si es al ejecutar depura el programa y evita que haga ciertas acciones (como ejecutar el msn por ej.).

¿No es mas facil que inyectar codigo directamente crear un hilo cuya direccion de inicio sea invalida? 0xCACACACA por ejemplo 

Weno, q ya hookee la api (aunke aun no ocultado los procesos ) q solo pongo este post para confirmar q esa es la api, y para dar las gracias 

Saludos

De nadas