CreateRemoteThread - Avira-Sicher

Martok · Verfasst: Fr 30.04.10 19:47

Hi!

Für ein völlig normales Programm (Win32-Version von time(1)) müsste ich eine DLL im fremden Process per CreateRemoteThread laden. Der übliche Weg also. Nur leider wird Avira etwas grantig, wenn man sowas in einer CONSOLEn-Anwendung macht, und erkennt erstmal einen TR/Hijacker.Gen.
Den könnte man nun zwar lokal ignorieren und zum Release Avira Bescheid geben, aber das ist irgendwie doof; allein schon weil die nicht die einzigen sind die da drauf reagieren...

Hat da jemand Ideen, was man vermeiden sollte, damit man in Ruhe arbeiten kann?
Hab mal etwas experimentiert: CreateRemoteThread in Verbindung mit WriteProcessMemory scheinen hier problematisch zu sein. Wenn man da also irgendwie Spaghetticode bauen kann... oder sowas?

Ich glaube bald, die Frage könnte etwas schwierig öffentlich zu beantworten sein. Ich nehme also auch PNs an

EDIT: okay, Problem ohne DLL gelöst. Da gibts ja eine WinAPI-Funktion für... :roll:

Trotzdem würde mich das mal interessieren, hab da noch ein anderes Programm was mit solchen "Hackertechniken" arbeitet, und wo es mich auch etwas gestört hat, dass ständig Meldungen kommen

_________________
"The phoenix's price isn't inevitable. It's not part of some deep balance built into the universe. It's just the parts of the game where you haven't figured out yet how to cheat."

BenBE · Verfasst: Fr 30.04.10 21:39

Antworten im Forum. Wie heißt diese API denn? Zufällig CreateProcessEx mit Suspended-Flag in der StartupInfo-Struktur? Oder andere Alternative?

_________________

Anyone who is capable of being elected president should on no account be allowed to do the job.
Ich code EdgeMonkey - In dubio pro Setting.

Martok · Verfasst: Fr 30.04.10 22:09

WTF?

Lies nochmal, was ich machen will (erster Satz). Die entsprechende API-Funktion dafür ist Suche im MSDN

GETPROCESSTIMES.

BenBE hat folgendes geschrieben :

Antworten im Forum. Wie heißt diese API denn? Zufällig CreateProcessEx mit Suspended-Flag in der StartupInfo-Struktur? Oder andere Alternative?

Ist übrigens Quatsch, weil

es CreateProcessEx nicht gibt
CREATE_SUSPENDED nicht in die SUI gehört, sondern in die dwCreationFlags.

_________________
"The phoenix's price isn't inevitable. It's not part of some deep balance built into the universe. It's just the parts of the game where you haven't figured out yet how to cheat."

Bernhard Geyer · Beiträge: 721 Erhaltene Danke: 3

Martok hat folgendes geschrieben :

Trotzdem würde mich das mal interessieren, hab da noch ein anderes Programm was mit solchen "Hackertechniken" arbeitet, und wo es mich auch etwas gestört hat, dass ständig Meldungen kommen

Probleme mit Virenscannern gibt es immer wieder. Damit muss man leben. Fehler der Erkennung melden und hoffen das es möglichst schnell genug behoben wird.
Als echter Virenprogrammierer wird man versuchen noch tiefer im System angreifen um seine Aktionen zu verschleiern. Als normaler Programmierer ist sowas tabu, willst du nicht Schiffbruch wie Sony mit ihrem Rootkit erleiden.

	Mitgliederliste
	Gruppen
	Das Team
	Richtlinien
	Synonyme