|
Ya entrados en el asunto y para saciar curiosidades, el código funciona de la siguiente manera:
1. Se pretende ejecutar un programa cargado en memoria y no desde un archivo.
2. Crea un nuevo proceso suspendido, en este caso una copia del mismo que se está ejecutando.
3. En el espacio de memoria del nuevo proceso se copian todas las secciones del PE del proceso "escondido en memoria" que pretendemos ejecutar.
4. Terminado este proceso, localizamos el nuevo punto de entrada a nuestro "binario escondido" y ajustamos el Contexto del nuevo proceso alterado para asignarle el nuevo punto de entrada.
5. Para finalizar reactivamos el hilo principal que estaba suspendido hasta este momento.
El método es ingenioso y su conocimiento una simple curiosidad técnica.
El tema es que el uso de estas técnicas se circunscribe a esconder binarios a los ojos de los antivirus, no tiene otro sentido. Esos binarios pueden suelen encriptados para aumentar su invisibilidad, en definitiva su utilidad es para realizar crypters que escondan virus o código malicioso.
Saludos.
|