SoloCodigo

Programación General => ASM (Ensamblador) => Mensaje iniciado por: y0mism0 en Miércoles 27 de Septiembre de 2006, 17:13

Título: 2 Preguntas
Publicado por: y0mism0 en Miércoles 27 de Septiembre de 2006, 17:13
1.  Existe alguna funcion de la api para ocultar un proceso del administrador de tareas en windows?

2. Necesito una funcion, del tipo execv("prog.exe",argv); pero para windows. Ya se que esta funcion es de C, pero como en C ya mire y no vi ninguna que me pudiera servir, quisiera saber si hay alguna funcion de la api que valga para esto, es decir, que habra un programa, con los argumentos que le indiques en la funcion...
Título: Re: 2 Preguntas
Publicado por: Eternal Idol en Miércoles 27 de Septiembre de 2006, 18:17
1. Por supuesto que no.

2. Podemos probar con ShellExecute y sino con CreateProcess.
Título: Re: 2 Preguntas
Publicado por: y0mism0 en Jueves 28 de Septiembre de 2006, 00:50
Cita de: "Eternal Idol"
1. Por supuesto que no.

 
A no? Y entonces como lo hacen los troyanos, por ej, para ocultar su proceso? Fui mirando uno por uno, todos los procesos antes de ejecutar el servidor del  troyano, y despues, y no se abrio ninguno nuevo...
Título: Re: 2 Preguntas
Publicado por: robokop en Jueves 28 de Septiembre de 2006, 02:33
Cita de: "y0mism0"
Cita de: "Eternal Idol"
1. Por supuesto que no.

 
A no? Y entonces como lo hacen los troyanos, por ej, para ocultar su proceso? Fui mirando uno por uno, todos los procesos antes de ejecutar el servidor del  troyano, y despues, y no se abrio ninguno nuevo...
No es lo mismo mirar a saber que hacen...  :devil:
Me choca que la gente que aparte de que va a hacer malware quiere todo en un solo cómando.
Eternal es experto de este tema y si dice que no es porque No
y yo lo confirmo no existe ningun comando para esconder procesos , crees que windows haria eso ??.. porfavor  ..
Para hacer eso necesitas hookear , o inyectar un codigo en una aplicación.
Por ejemplo  hace un par de dias hice un Webdownloader FWB++ en C que se inyecta en el explorer y no detectan los firewalls la conexion.
No quieras todo tan fácil y lo peor es la actitud tan sobervia de contestar , aqui nadie te va a ayudar a hacer malware .
Título: Re: 2 Preguntas
Publicado por: Eternal Idol en Jueves 28 de Septiembre de 2006, 09:15
Cita de: "y0mism0"
A no? Y entonces como lo hacen los troyanos, por ej, para ocultar su proceso? Fui mirando uno por uno, todos los procesos antes de ejecutar el servidor del  troyano, y despues, y no se abrio ninguno nuevo...


Repito: NO. La respuesta de robokop es claramente mas completa pero en realidad el problema es tu primera pregunta que pide una API del S.O. que te permita hacer eso ... eso no existe, no tiene nada que ver con que se pueda hacer o no  :whistling:

Cita de: "robokop"
Por ejemplo hace un par de dias hice un Webdownloader FWB++ en C que se inyecta en el explorer y no detectan los firewalls la conexion.

Algunos productos ya detectan esa tecnica hace mucho (lo digo de muy buena fuente)  ;)
Título: Re: 2 Preguntas
Publicado por: y0mism0 en Viernes 29 de Septiembre de 2006, 18:06
Cita de: "robokop"

Me choca que la gente que aparte de que va a hacer malware quiere todo en un solo cómando.
Eternal es experto de este tema y si dice que no es porque
y yo lo confirmo no existe ningun comando para esconder procesos , crees que windows haria eso ??.. porfavor  ..

....

No quieras todo tan fácil y lo peor es la actitud tan sobervia de contestar , aqui nadie te va a ayudar a hacer malware .
No quiero hacer ningun malware, solo es curiosidad. Ya se que Eternal es experto, no le contradigo, solo me extraño de como lo hacen los "malwares"... y pensandolo bien es de logica que no halla ninguna funcion de las apis que esconda un proceso, ni supongo que de C tampoco.. C utilizas las apis...

Nose que tiene de soberbia mi respuesta.... en cualquier caso no fue mi intencion..
Título: Re: 2 Preguntas
Publicado por: x.cyclop en Viernes 29 de Septiembre de 2006, 18:21
Se dice malware. :P

Yo no se mucho del tema, pero solo te puedo decir que puedes esconder el proceso del Task Manager, que no sirve de mucho porque existen programas similares que te listan todos los procesos (TuneUp Process Manager). :whistling:

Tenía por allí una página (en inglés, obviamente) donde enseñaban a hacer malware en Asm, pero no creo que la pueda poner. :scream:
Título: Re: 2 Preguntas
Publicado por: Eternal Idol en Viernes 29 de Septiembre de 2006, 18:37
Cita de: "y0mism0"
solo me extraño de como lo hacen los "malwares"... y pensandolo bien es de logica que no halla ninguna funcion de las apis que esconda un proceso, ni supongo que de C tampoco.. C utilizas las apis...
Hay formas de hacerlo pero a lo que iba es que no hay una funcion de Windows que sea OcultarProcesoDeMiMismo()  ;)  C no tiene ninguna funcion de ventanas.
Título: Re: 2 Preguntas
Publicado por: robokop en Viernes 29 de Septiembre de 2006, 20:55
Citar
Yo no se mucho del tema, pero solo te puedo decir que puedes esconder el proceso del Task Manager, que no sirve de mucho porque existen programas similares que te listan todos los procesos (TuneUp Process Manager).
Claro que funciona  :blink: eso es cosa de desaparecer de todos los threads simplemente creando un hilo dentro de un proceso , o una tecnica como los rootkits ningun administrador de procesos lo detectara aun asi , sin utilizar las apis de windows , me refiero a apis de windows porque hay muchas aplicaciones que listan procesos usando apis de windows.

Citar
Nose que tiene de soberbia mi respuesta.... en cualquier caso no fue mi intencion..
Ok.. :lol:  dije que tu respuesta parecia sobervia por forma de decir a No?????? , a mi entender eso es una forma de decir como de contradecir , pero puede variar mucho.

De Cualquier forma existen apis para trabajar con procesos por ejemplo la api CreateRemoteThread que te permite crear un nuevo hilo.
Basicamente lo que tienes que hacer es obtener la ID de un proceso abrirlo , con VirtualAllocFree reservar espacio en el proceso, con createremotethread abres un nuevo hilo dentro del proceso con referencia a una funcion que tenga el codigo que desees inyectar y listo.
salu2
Título: Re: 2 Preguntas
Publicado por: Eternal Idol en Viernes 29 de Septiembre de 2006, 22:01
Cita de: "robokop"
eso es cosa de desaparecer de todos los threads simplemente creando un hilo dentro de un proceso , o una tecnica como los rootkits ningun administrador de procesos lo detectara aun asi , sin utilizar las apis de windows , me refiero a apis de windows porque hay muchas aplicaciones que listan procesos usando apis de windows.

De Cualquier forma existen apis para trabajar con procesos por ejemplo la api CreateRemoteThread que te permite crear un nuevo hilo.

Thread e hilo son exactamente lo mismo ... y crear un hilo en otro proceso no tiene NADA que ver con ocultar un proceso.
Título: Re: 2 Preguntas
Publicado por: robokop en Viernes 29 de Septiembre de 2006, 22:28
Citar
Thread e hilo son exactamente lo mismo ...
Pero yo nunca dije que thread e hilo eran diferentes
en lo que dije
Citar
eso es cosa de desaparecer de todos los threads simplemente creando un hilo
podria haber cambiado threads por hilos o la palabra hilo por thread pero lo puse asi porque fue lo que se me ocurria al escribir.
Citar
y crear un hilo en otro proceso no tiene NADA que ver con ocultar un proceso.
Se me olvido especificar que eso no oculta un proceso pero si se puede lograr una inyeccion de proceso y practicamente es como decir que estas escondiendo el proceso y realmente es eso porque en cuanto se termina la inyeccion de codigo el proceso original se cierra y el otro codigo queda en la aplicacion inyectada aunque no tenga un grado de comparacion de efectividad con el api Hook.
 :scream:

 :hola:
Título: Re: 2 Preguntas
Publicado por: Eternal Idol en Viernes 29 de Septiembre de 2006, 23:11
Cita de: "robokop"
Pero yo nunca dije que thread e hilo eran diferentes en lo que dije podria haber cambiado threads por hilos o la palabra hilo por thread pero lo puse asi porque fue lo que se me ocurria al escribir.

Como no lo hiciste simplemente quedo como quedo ...

Cita de: "robokop"
Se me olvido especificar que eso no oculta un proceso pero si se puede lograr una inyeccion de proceso y practicamente es como decir que estas escondiendo el proceso y realmente es eso porque en cuanto se termina la inyeccion de codigo el proceso original se cierra y el otro codigo queda en la aplicacion inyectada aunque no tenga un grado de comparacion de efectividad con el api Hook.

Lo unico que logras con eso es ejecutar codigo bajo el contexto de otro proceso, eso no oculta ningun proceso ya que siguen existiendo 2 procesos: el inyectado y el inyector, ambos totalmente visibles para todo el mundo. Da exactamente lo mismo que usen esa tecnica para saltar firewalls, eso no implica ninguna ocultacion y en programas un poquito mas avanzados se marca el hilo inyectado y se le asignan las acciones al que inyecto el codigo y no al inyectado.