Mensajes

Me da que alguien se te adelantó:
http://foro.elhacker.net/analisis_y_diseno_de_malware/karcrack_project_crypter_v21_kpc-t256127.0.html

Preciosa interfaz, buena selección musical y gracias por la mención en el about

Respecto a la funcionalidad no lo he probado pero viendo los resultados debe ir genial

[m]

hola a todos , les cuento mi idea , ahora mismo en la universidad estamos dando en autómatas , como crear un copilador usamos Jlex , mi pregunta era si se podia realizar un cambio en el copilador general de los programas para que use por la fuerza en que creemos nosotros

El compilador va ligado al lenguaje que compila. Si quieres compilar código C tendrás que hacerte un compilador de C.

y también quería saber si se puede cambiar los datos de la tabla de registro/traduccion de las ip (la que al poner www.ej.com sabe la direccion ip , no me acuerdo ahora mismo del nombre ) y que tipo de permisos se necesitan para poder editar esa tabla

La tabla a la que te refieres es el fichero hosts en Windows. Necesitarás privilegios de administrador.

Sin código fuente tendré que moverlo a la sección de herramientas...

Para cerrar el handle necesitarás duplicarlo usando DuplicateHandle() con DUPLICATE_CLOSE_SOURCE y luego cerrarlo con CloseHandle()...

Aquí tienes también como enumerarlos para encontrar el adecuado:
http://forum.sysinternals.com/howto-enumerate-handles_topic18892.html

Pásalo bien

[EDIT:]

Vas a tener que sufrir un poco jaja
Para empezar tendrás que averiguar que proceso posee el handle al fichero: http://technet.microsoft.com/en-us/sysinternals/bb896655 o http://technet.microsoft.com/es-es/sysinternals/bb896653
Después tendrás que cerrarlo...

Todo esto, por cierto, requerirá privilegios de administrador...

EDIT: AvastSvc.exe es el dueño del fichero

Con RegShot seguro que fue fácil

¿Está en el registro de Windows? De ser así espero que esté en HKLM Aunque en Windows XP los privilegios de administrador no serán un problema jaja

Sencillamente digo que Procmon es mucho más intrusivo que RegShot (u otros analizadores en frío). En caso de que el AV hiciese comprobaciones (no lo he comprobado pero me parecería lógico) RegShot no deja rastro.

No desviemos más el tema con esto.

Que estas hablando? Acaso lo haz comprobado por ti mismo para decir algo como eso? Procmon no es bloqueado por antivirus, el ejecutable y el driver estan firmados por Microsoft. De lo contrario indicá qué Antivirus esta bloqueando o detectando eso de dices que hacen.

Creo que no entendiste mi comentario... Sólo dije que RegShot es mejor ya que no es posible detectarlo. Imagino que en eso estás de acuerdo conmigo...

Yo no probé aun, pero lo voy a intentar.. resulta que tengo 2 versiones de avast instaladas,, una en la pc del trabajo y la otra en casa, en la versión del trabajo me salta la ventana de "enviar al baúl o permitir" al inyectar una dll en cualquier proceso, y en la de casa no. El lunes voy a empezar a hacer pruebas, a ver si es tan complicado..

Saludos!!

PD: Lo bueno de mi trabajo es que tengo 8 maquinas a mi disposición, y programo 8 hs por día.. 

Actualiza a la última versión para tener pruebas consistentes

Suerte!

Bueno, me gusto el reto.. lo voy a intentar de las dos formas si es necesario,, con Procmon parece ser mas sencillo, pero por si las dudas,, si creo las imagenes del disco, cual seria el mejor metodo para compararlas? Tiene pinta de llevar mucho tiempo/trabajo eso jeje igual, lo puedo intentar.. pero,, con las herramientas adecuadas, el trabajo es mas sencillo 

Con RegShot la comparación es automática.

Procmon es mejor:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Monitoreo en tiempo de ejecución.

Procmon es detectable por ser en tiempo de ejecución. Con RegShot no alteras el proceso del AV, así que no tendrás problemas si el AV comprueba si alguien intercepta sus llamadas.