Nipx4215,
Cita:
|
Empezado por escafandra
...El problema del hash del explorer es que el engaño de UpdateProcThreadAttribute va a hacer que explorer aparezca siempre como el verdadero padre...
|
Cita:
|
Empezado por Nipx4215
...mientras no se detecte el proceso padre real es inútil cualquier chequeo como MD5 pues es engañado por el UpdateProcThreadAttribute y el proceso padre siempre será el explorer...
|
Cita:
|
Empezado por Nipx4215
...Para que solo sea lanzado por el explorer...
|
Te comento:
1- En los
Msg #17,
#19 y
#22 te he consultado sobre
cual es la función o naturaleza de tu aplicación y solo te has limitado a contestar : Para que solo sea lanzado por el explorer, la pregunta sigue sin ser respondida
2- Independientemente que el programa detecte el Parent Process y este empaquetado con UPX, ASPack o similares,
una vez en memoria será susceptible a ser modificado por otro proceso.
3- Hasta donde entiendo la técnica en cuestión (UpdateProcThreadAttribute) es valida en Windows Vista y posteriores, por lo tanto no parece factible verificar realmente quien es el Parent Process dado que es una función propia del SO, sin embargo :
Norton Internet Security no permite que el programa sea eliminado de memoria, por lo cual asumo que tampoco modificado, ¿Como lo hace?
4- La idea del Hash (
Msg #15) es descartar cualquier modificación ilegal a explorer, sería un complemento a la solución final,
dado que si explorer es alterado por cualquier medio, el verificar si explorer es el Parent Process no ofrecera ninguna seguridad adicional.
Espero sea útil
Nelson.