RunPE sin cargar exe físico ?

arfgh · 30 Julio 2013, 01:23 AM

Existe alguna forma de ejecutar un exe desde byteArray pero sin pasarle el código al un exe físico ejecutado previamente ?

o sea, me estoy refiriendo a crear el proceso en su totalidad sin usar uno previamente ejecutado.

arfgh · 30 Julio 2013, 13:57 PM

Tal vez no se me entienda lo que dije. Normalmente procedimiento RunPE es usado para cambiar el código de un exe físico que ejecutamos desde código por el contenido de un byte array. Lógicamente eso los anti-virus lo detectan como algo malicioso.

Es por ello que yo lo que planteo es ejeccutar el contenido de un byte array pero sin usar un exe físico a modo de señuelo, o sea, creado su proceso, etc etc.

Es ello posible ?

Danyfirex · 30 Julio 2013, 14:30 PM

Yo no entiendo lo que quieres hacer

arfgh · 30 Julio 2013, 16:13 PM

pues vamos a ver.

El típico código llamado RunPE, le pasa el código contenido en un byte array a un exe físico que ejecutamos previamente. O sea, le cambia su código por el de nuestro byte array.

Sin embargo yo en realidad quiero no tener que ejecutar previamente el exe físico. Simplemente quiero rular el exe que tengo en el byte array.

espero que ahora me haya explicado.

MCKSys Argentina · 30 Julio 2013, 20:14 PM

Cita de: arfgh en 30 Julio 2013, 16:13 PM
Sin embargo yo en realidad quiero no tener que ejecutar previamente el exe físico. Simplemente quiero rular el exe que tengo en el byte array.

Si quieres hacer forking, en Windows no hay forma nativa para hacerlo: http://en.wikipedia.org/wiki/Fork-exec

Aunque siempre puedes crear un nuevo proceso desde un PE "vacio" y tocarlo antes de dejarlo correr o bien inyectarte en otro.

Estudiar packers te da muchas ideas de como hacer este tipo de cosas...

Saludos!

Test Foro de elhacker.net SMF 2.1

RunPE sin cargar exe físico ?

arfgh

arfgh

Danyfirex

arfgh

MCKSys Argentina