[SNIPPET] Get W$ Version {RtlGetVersion - Native API}

Iniciado por Karcrack, 16 Septiembre 2009, 22:11 PM

0 Miembros y 5 Visitantes están viendo este tema.

YST

Cita de: Karcrack en 17 Septiembre 2009, 18:28 PM
Cita de: YST en 17 Septiembre 2009, 18:21 PM
Claro y si hay un malware que te hace hoock a la api tambien ningun metodo funcionaria ,pero hay que ser realista ;)
El ultimo metodo que he posteado si que funcionaria por mucho Hook que haya...

El PEB tambien se puede modificar ;)


Yo le enseñe a Kayser a usar objetos en ASM

Karcrack

Cita de: YST en 17 Septiembre 2009, 18:30 PM
El PEB tambien se puede modificar ;)
Claro que se puede modificar... pero...
Con un Hook? :xD

YST

Cita de: Karcrack en 17 Septiembre 2009, 18:31 PM
Cita de: YST en 17 Septiembre 2009, 18:30 PM
El PEB tambien se puede modificar ;)
Claro que se puede modificar... pero...
Con un Hook? :xD
LA idea es lo mismo que un hoock api solo que solo inyectas el modificador del PEB que no modique la api, pero en idea es un hoock api ya que estas haciendo que la api haga lo que tu quieras y mediante el PEB te fallarian todas las api's que lo saquen :P .


Yo le enseñe a Kayser a usar objetos en ASM

Karcrack

Cita de: YST en 17 Septiembre 2009, 18:37 PM
LA idea es lo mismo que un hoock api solo que solo inyectas el modificador del PEB que no modique la api, pero en idea es un hoock api ya que estas haciendo que la api haga lo que tu quieras y mediante el PEB te fallarian todas las api's que lo saquen :P .
Para hacerlo con el PEB tendrias que ir proceso por proceso, obtener privilegios y muchas cosas mas...

Zanjando el tema... no creo que a ningun Malware le interese cambiar la version de W$ :xD

BlackZeroX

Cita de: Karcrack en 17 Septiembre 2009, 18:44 PM
Cita de: YST en 17 Septiembre 2009, 18:37 PM
LA idea es lo mismo que un hoock api solo que solo inyectas el modificador del PEB que no modique la api, pero en idea es un hoock api ya que estas haciendo que la api haga lo que tu quieras y mediante el PEB te fallarian todas las api's que lo saquen :P .
Para hacerlo con el PEB tendrias que ir proceso por proceso, obtener privilegios y muchas cosas mas...

Zanjando el tema... no creo que a ningun Malware le interese cambiar la version de W$ :xD

+1
The Dark Shadow is my passion.

el_c0c0

che, interesante.. pero me parece jodido una cosa, por logica:
Código (vb) [Seleccionar]

        Case "1.0.0":     VersionToName = "Windows 95"
        Case "1.1.0":     VersionToName = "Windows 98"
        Case "1.9.0":     VersionToName = "Windows Millenium"

Recalco, esto es una API de NT, win 95, 98, ME no tenian esta dll ni en pedo.. No es logico agregar esos sistemas, ya que el API no funcionaria en esos sistemas.

en fin, esta bueno usar apis nativas para variar de las comunes.

saludos!
'-     coco
"Te voy a romper el orto"- Las hemorroides

Karcrack

Has provado el codigo en W$ 95/98/Millenium? Segun tengo entendido la DLL NTDLL esta en todos los W$ NT....

YST

La familia de los sistemas operativos Windows NT de Microsoft está constituida por versiones como Windows 7, Windows Vista, Windows Server 2003, Windows XP, Windows 2000 y Windows NT.


Yo le enseñe a Kayser a usar objetos en ASM

burbu_1

Muchas garcias por el aporte karcrack,

como comentan por ahí, lo he probado en el win98 y no funciona................... falta la dll...........  :-(



Cita de: YST en 17 Septiembre 2009, 07:06 AM

Con el mismo registro puedes saber si es NT o no(si falla no es NT ) :xD , digo que es mejor por que en el registro ya esta escrito directamente que version del SO es entre otras cosas ( si es ultimate o home basic aparece en el registro por ejemplo ) :P

Para ser mas expesifico en la clave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName

gracias, me es muy útil

Jaixon Jax

 ;D

  La variavle de entorno "OS" te dice si es windows NT si luego de chequear la variable de entorno y se sabe que es NT se puede utilizar el ejemplo de Karcrack....


  Saludos..