¿Cómo detectar cambios en .text?

Iniciado por Shout, 1 Octubre 2014, 18:39 PM

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2
Acciones del Usuario

MCKSys Argentina

#10
1 Octubre 2014, 21:09 PM
Cita de: Eternal Idol en  1 Octubre 2014, 20:47 PM
Seguro aunque no te permitiria mas que saber que hubo cambios, algo que se podria derivar directamente de interceptar el cambio de proteccion de la pagina ...

Estoy de acuerdo. Creo que la opcion mas viable seria hookear VirtualProtect y VirtualAlloc y verificar las direcciones en que se esta intentando usar la API.

Saludos!

PD: Agregue VirtualAlloc porque usando esa API con MEM_COMMIT y PAGE_EXECUTE_READWRITE da permisos de ejecucion a una pagina sin allocar nada (tecnica usada en exploits).
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Reglas del foro - FAQ Ing. Inversa - Buscador del foro

Eternal Idol

#11
1 Octubre 2014, 22:38 PM
Cita de: MCKSys Argentina en  1 Octubre 2014, 21:09 PM
Estoy de acuerdo. Creo que la opcion mas viable seria hookear VirtualProtect y VirtualAlloc y verificar las direcciones en que se esta intentando usar la API.

Saludos!

PD: Agregue VirtualAlloc porque usando esa API con MEM_COMMIT y PAGE_EXECUTE_READWRITE da permisos de ejecucion a una pagina sin allocar nada (tecnica usada en exploits).

Si, aunque mejor interceptar en NTDLL.
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón
Imprimir
Ir Arriba Páginas 1 2
Acciones del Usuario