[DUDA] Procesos Persistentes

Mad Antrax · 12 Enero 2008, 16:42 PM

Cita de: nhaalclkiemr en 12 Enero 2008, 16:39 PM
Provad vosotros...a por ejemplo renombrar el block de notas (notepad.exe) a lsass.exe y ejecutarlo...aparece con la ventana como si fuese el estilo clásico...solo con lsass.exe con services.exe o cualkier otro se ejecuta de una manera normal...

El estilo XP de estas aplicaciones viene dado por un MANIFEST, que tiene que coincidir con el nombre original del ejecutable. Lo que estas haciendo con esto es desvincular el MANIFEST del notepad.exe con el ejecutable, por eso lo ves como 'Window Classic'

nhaalclkiemr · 12 Enero 2008, 16:58 PM

ah vale...es k me parecía raro...

Saludos

Tughack · 12 Enero 2008, 17:25 PM

CitarTambien lo puedes llamar lsass.exe, csrss.exe, smss.exe o winlogon.exe

No, son pocos los k se puede hacer eso, el services.exe y el winlogon.exe estoy seguro k si, pero el lsass se termina con taskill.

Cita de: ||MadAntrax|| en 12 Enero 2008, 16:42 PM
El estilo XP de estas aplicaciones viene dado por un MANIFEST, que tiene que coincidir con el nombre original del ejecutable. Lo que estas haciendo con esto es desvincular el MANIFEST del notepad.exe con el ejecutable, por eso lo ves como 'Window Classic'

No, no tiene k ver con eso, simplemente los procesos protegidos dan el estilo clasico al formulario, intenta crear un formulario en vb y llamale services.exe, no tendra el estilo xp (me refiero a la barra de titulo del formlario, ya k los controlos son por defecto estilo clasico).

Salu2

Salu2

nhaalclkiemr · 12 Enero 2008, 20:32 PM

Ah no sé...yo sabía que habia algunos que con taskkill no se daban terminado y pensaba que eran los mismos que no te deja terminar con el taskmgr.exe pero debes de tener razón...es k no me apetece probar pork sino después tengo que reiniciar

...

Y sobre lo del estilo clasico solo me ocurrió renombrando a lsass.exe...renombrando a winlogon.exe, services.exe, csrss.exe, smss.exe sigue manteniendo el estilo normal...por eso me pareció raro...

entonces a k kedamos con lo de lsass.exe? aunke weno no creo k te puedas aprovechar eso para nada...

Saludos

Tughack · 12 Enero 2008, 21:27 PM

Hmm todos los k he probado kedan con estilo clasico.

Y no, no tienes k reniciar, hay formas de terminarlos, se usas PEiD (una tool indispensable para kualkier programador) los puedes terminar jeje

Salu2

nhaalclkiemr · 13 Enero 2008, 15:23 PM

Pues a mi solo con el lsass.exe...y prové con varios programas y todos igual...

Y yo a lo que me refería al reiniciar no es para terminarlos...es k al terminarlos el ordenador queda medio chungo pork al cerrar procesos importantes pierde algunas de sus funciones y muchas cosas no van y hay que reiniciar para recuperar la estabilidad...a eso es a lo que me refería...

por cierto he oido hablar varias veces del PEiD ese...donde puedo conseguirlo??
Me tiene pinta de ser una especie de dissasembler...weno yo uso el olly pero supongo que este será distinto...

Saludos

Tughack · 13 Enero 2008, 15:38 PM

Cita de: nhaalclkiemr en 13 Enero 2008, 15:23 PM
Pues a mi solo con el lsass.exe...y prové con varios programas y todos igual...

Y yo a lo que me refería al reiniciar no es para terminarlos...es k al terminarlos el ordenador queda medio chungo pork al cerrar procesos importantes pierde algunas de sus funciones y muchas cosas no van y hay que reiniciar para recuperar la estabilidad...a eso es a lo que me refería...

por cierto he oido hablar varias veces del PEiD ese...donde puedo conseguirlo??
Me tiene pinta de ser una especie de dissasembler...weno yo uso el olly pero supongo que este será distinto...

Saludos

Una vez k no terminas un proceso k es realmente del sistema, no deberias pierder estabilidad en la sesion.

Kuanto al PEiD es un PE identifier, te dice con k esta programado o enpakado un ejecutable, te da el entry point, sección del entry point, primeros bytes (desde el entry point), etc..

Tiene task viewer con iconos y rutas, y para mi muy importante, tiene un genric unpacker

Web oficial (esta offline):

http://peid.has.it/

Se kieres te lo paso.

Salu2

nhaalclkiemr · 13 Enero 2008, 19:46 PM

Ok pasamelo! Enviamelo por MP si quieres...

gracias y saludos

P.D.: Tughack agregame al MSN (si tienes) que así me podrías ayudar en algunos temas...weno actualmente no necesito ayuda en ningun tema importante pero me gustaría tenerte en el MSN...