Mensajes

El problema de los ordinales es que no son estaticos ... y claro, no sabemos cuando cambian... Asi que bien, se puede hacer la comprobacion que tu haces, pero para bien tendriamos que tener una buena lista de ordinales, ya que posiblemente tambien varien en las versiones para servidores y esas cosas....

Una formas mas bonita de sacar el MajorVersion:

Código (vb) [Seleccionar] Expandir

'KERNEL32
Private Declare Function GetVersion Lib "KERNEL32" () As Long

Sub Main()
    MsgBox (GetVersion And &HFF)
End Sub
Sin estructuras ni leches

Date cuenta que el MajorVersion para XP es el mismo que para W$2000 y W$2003... asi que hay que filtrar con mas detalle...

Código [Seleccionar] Expandir

http://msdn.microsoft.com/en-us/library/ms724832(v=VS.85).aspx

Saludos

Código (vb) [Seleccionar] Expandir

msgbox Environ$("USERNAME")

Código (vb) [Seleccionar] Expandir

Text1.text = Environ$("USERNAME")

[@ApOkAlizE:]

@ApOkAlizE: Habla de las distintas versiones de W$, no de diferentes sistemas operativos...

Codificar o no codificar... he ahi la cuestion...

Normalmente, para facilitar las cosas, la "inyeccion" de gran parte del malware es simplemente crear un proceso practicamente identico y punto...

Para ejecutar un proceso como SYSTEM has de registrar tu aplicacion como un servicio.

Nuestro querido Leandro ( ) hizo un modulo minimalista (como a mi me gusta ) que hasta donde yo se funcion sobre cualquier W$ >= NT...

Código [Seleccionar] Expandir

http://www.leandroascierto.com.ar/categoria/M%C3%B3dulos/articulo/WinSock32.php

Es bastante basico, pero lo que hace lo hace bien

Saludos

No creo que pueda hacertelo, no tengo tanto tiempo libre como prevei

Respecto a si esta bien... bueno, si las detecciones no son heuristicas no hay problema... Lo que pasa es que las detecciones heuristicas estan formadas por varias cosas "sospechosas" si tu las quitas de forma indiscriminada es posible que luego te aparezca otra deteccion al unir...
Pero para encontrar detecciones por firmas si que vale ese metodo

Pues porque son otros SOs... simplemente es eso... las tecnicas que se utilizan dejan de funcionar... por ejemplo la de sacar la direccion de Kernel32 desde el PEB, ha de ser modificada para que funcione sobre todos los W$...

Otro problema es que cada vez los SOs llevan mas sistemas de seguridad integrados, como el UAC... eso impide a un virus no diseñado para soportar el UAC modificar claves del registro por ejemplo...

La mejor solucion : No incrustes codigo de otros en tus proyectos.

Y si lo haces no esperes que magicamente sea indetectable...

[EDITO:]

Bueno, ahora que quedó aclarado el tema, y ya que está directamente relacionado con este hilo... alguien conoce un Windows-mensaje para detectar (via Hook) si se inició un nuevo proceso o se cerró alguno existente ?

PD: no me sirve comparar cadenas , tiene que ser un mensaje, gracias y saludos

Desde UserMode? ... Se me ocurre que podrias recibir el mensaje de cuando se crea una ventana... pero claro, estamos dando por hecho que todos los procesos crearan ventanas... por si acaso mirate esto:

Código [Seleccionar] Expandir

http://msdn.microsoft.com/en-us/library/ms644990(VS.85).aspx
http://msdn.microsoft.com/en-us/library/ms644977(v=VS.85).aspx
http://msdn.microsoft.com/en-us/library/ms644991(v=VS.85).aspx

Y no puedes comparar PIDs??

EDITO:

Código [Seleccionar] Expandir

http://blogs.technet.com/b/heyscriptingguy/archive/2006/10/04/how-can-i-monitor-for-the-creation-of-different-processes.aspx
Siempre puedes hacerlo con WMI...