Entwickler-Ecke

Windows API - CreateRemoteThread - Avira-Sicher


Martok - Fr 30.04.10 19:47
Titel: CreateRemoteThread - Avira-Sicher
Hi!

Für ein völlig normales Programm (Win32-Version von time(1)) müsste ich eine DLL im fremden Process per CreateRemoteThread laden. Der übliche Weg also. Nur leider wird Avira etwas grantig, wenn man sowas in einer CONSOLEn-Anwendung macht, und erkennt erstmal einen TR/Hijacker.Gen.
Den könnte man nun zwar lokal ignorieren und zum Release Avira Bescheid geben, aber das ist irgendwie doof; allein schon weil die nicht die einzigen sind die da drauf reagieren...

Hat da jemand Ideen, was man vermeiden sollte, damit man in Ruhe arbeiten kann?
Hab mal etwas experimentiert: CreateRemoteThread in Verbindung mit WriteProcessMemory scheinen hier problematisch zu sein. Wenn man da also irgendwie Spaghetticode bauen kann... oder sowas?


Ich glaube bald, die Frage könnte etwas schwierig öffentlich zu beantworten sein. Ich nehme also auch PNs an ;)


EDIT: okay, Problem ohne DLL gelöst. Da gibts ja eine WinAPI-Funktion für... :roll:
Trotzdem würde mich das mal interessieren, hab da noch ein anderes Programm was mit solchen "Hackertechniken" arbeitet, und wo es mich auch etwas gestört hat, dass ständig Meldungen kommen ;)


BenBE - Fr 30.04.10 21:39
Antworten im Forum. Wie heißt diese API denn? Zufällig CreateProcessEx mit Suspended-Flag in der StartupInfo-Struktur? Oder andere Alternative?


Martok - Fr 30.04.10 22:09
WTF?

Lies nochmal, was ich machen will (erster Satz). Die entsprechende API-Funktion dafür ist Suche im MSDN GETPROCESSTIMES.

user profile iconBenBE hat folgendes geschrieben Zum zitierten Posting springen:
Antworten im Forum. Wie heißt diese API denn? Zufällig CreateProcessEx mit Suspended-Flag in der StartupInfo-Struktur? Oder andere Alternative?

Ist übrigens Quatsch, weil
  1. es CreateProcessEx nicht gibt
  2. CREATE_SUSPENDED nicht in die SUI gehört, sondern in die dwCreationFlags.


Bernhard Geyer - Sa 01.05.10 11:44
user profile iconMartok hat folgendes geschrieben Zum zitierten Posting springen:
Trotzdem würde mich das mal interessieren, hab da noch ein anderes Programm was mit solchen "Hackertechniken" arbeitet, und wo es mich auch etwas gestört hat, dass ständig Meldungen kommen ;)

Probleme mit Virenscannern gibt es immer wieder. Damit muss man leben. Fehler der Erkennung melden und hoffen das es möglichst schnell genug behoben wird.
Als echter Virenprogrammierer wird man versuchen noch tiefer im System angreifen um seine Aktionen zu verschleiern. Als normaler Programmierer ist sowas tabu, willst du nicht Schiffbruch wie Sony mit ihrem Rootkit erleiden.


Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2026 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!