@nlsgarcia
Para que solo sea lanzado por el explorer, evitando sea lanzado por otra aplicación y modificarlo en memoria con WriteProcessMemory
@ escafandra
1.-Es correcto, mientras no se detecte el proceso padre real es inútil cualquier chequeo como MD5 pues es engañado por el UpdateProcThreadAttribute y el proceso padre siempre será el explorer.
2.-No se puede desempacar, por eso es que lo hacen en memoria
3.-@escafandra si lo lanzan por el explorer no podrán modificarlo ni en memoria, no veo la forma. Si es lanzado por un programa diferente tengo programado que no arranque siquiera.
4. Gracias aunque son técnicas antidebugged, y como comentaba en el post 8 no aplica acá, no sería detectado
Por lo que he estado buscando, no hay solución conocida, como mencionaba anteriormente, la única solución viable sería buscar que atributo no es heredado y rascarle por ahí
Cita:
MSDN
PROC_THREAD_ATTRIBUTE_PARENT_PROCESS
Los atributos heredados del proceso especificado incluyen handles, device map, processor affinity, priority, quotas, process token y job object. (Algunos atributos, como el debug port vendrán del proceso de creación, no el proceso especificado por este handle.)
|
Gracias a ambos, saludos.