abdoulax
Messages postés875Date d'inscriptionsamedi 17 mai 2003StatutMembreDernière intervention22 juin 2012
-
14 nov. 2007 à 14:56
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019
-
14 nov. 2007 à 16:52
Bonjour,
Prenons notepad.exe, je le renomme en notepad2.exe, comment savoir que cette executable correspond à notepad.exe ? Est-il possible de récupérer un identifiant d'application ?
abdoulax
Messages postés875Date d'inscriptionsamedi 17 mai 2003StatutMembreDernière intervention22 juin 20121 14 nov. 2007 à 16:37
Hum, oula sa m'a l'air compliqué. Tu peux pas expliquer un peu plus précisement? Car la google me parle pas !! J'ai vraiment l'impression d'être un noob, et pourtant !!
BruNews
Messages postés21040Date d'inscriptionjeudi 23 janvier 2003StatutModérateurDernière intervention21 août 2019 14 nov. 2007 à 16:52
Disons que tu hook CreateProcess, donc tu reçois les params.
En ce cas tu as la chaine du exe que tu ouvres avec CreateFile en GENERIC_READ et OPEN_EXISTING, tu calcules le hash MD5, CloseHandle du exe, et enfin tu repasses à la vraie CreateProcess seulement si exehash n'est pas dans ton tableau de hash interdits.