Mensajes

es decir...que esto de modificar el PE solo funcionaria en .exe's....no???? y komo se haria para modificar el PE???

PE es Portable Executable y se usa para varios tipos de archivos. En NT para codigo objeto (.OBJ), ejecutables (.EXE), librerias (.DLL, .OCX) y drivers (.SYS) entr otros, tanto de 32 como de 64 bits.
Para modificar un PE se necesita lo mismo que para con cualquier otro formato, saber sus especificaciones y modificarlo en modo binario (no texto).

Me parece que estas mezclando dos cosas, una la inyeccion de codigo sobre un PROCESO y otra la "incrustacion" de codigo en un PROGRAMA.
En la primera se escribe en el espacio de direcciones de un proceso en ejecucion mientras que en la segunda se escribe en el archivo en disco.

¿Como se ejecuta el codigo incrustado en un archivo ejecutable en disco? Asi rapidamente se me ocurren un par de formas, la mas simple es cambiar el entry point. En el PE hay un campo que indica la direccion de comienzo del ejecutable (entry point), haciendo que la misma apunte al codigo nuevo y que este codigo termina saltando a la direccion original del entry point se consigue ejecutar antes el nuevo codigo y despues el programa de siempre.

En NT esa informacion esta en modo Kernel por lo tanto lo haces desde un driver o accediendo a \Device\PhysicalMemory que es una manera muy poco fiable.

La comunicacion la haces desde el ..como es eso? que comunicacion? hacer la comunicacion desde el explorer?

Claro, desde el hilo inyectado, pero es solo un ejemplo igual.

Hay miles de usos, se suele usar incluso para engañar a los Firewalls personales. Si te inyectas al explorer y la comunicacion la haces desde el ...

que es WFP ? tengo que matar el proceso. si, pero al matar ese proceso se me reiniciara el PC.

Windows File Protection. En NT no se te reincia la PC, podes volver a ejecutarlo sin problemas, ya no me acuerdo de como funcionaba 9x 

Igual no te recomiendo hacer nada de esto ... se nota muchisimo ...

Pero podria copiar el binario delde explorer.exe infectarlo con el code que inyecto, y luego suplantarlo? todo mediante programacion , porque se, que en forma manual si se puede suplantar al explorer.exe (por lo menos en windows 98).

Si, todo lo que se puede hacer manualmente se puede hacer mediante programacion. En las versiones que tengan activado el WFP tendras problemas ... en realidad no es una solucion valida reemplazar el binario, para hacerlo tenes que matar el proceso por cierto.

Si, es la unica forma ... los cambios que efectuas sobre un PROCESO no se aplican al PROGRAMA.

Si, cambiando el archivo en disco ... o repitiendo el proceso de inyeccion cada vez que se cree el proceso.

Desaparecera apenas termine el proceso.