Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
suspendre en exécution
Bonjour,
Après avoir mappé un éxécutable en mémoire et l'avoir lancé j'aimerais lors d'un événement le suspendre, le crypter (avec toute la mémoire associé si possible) ou le démapper puis après que l'événement se termine reprendre là ou j'ai suspendu.
Là ou je ne voit pas comment faire c'est pour sauvegarder l'état et reprendre et tout crypter en memoire associé pour qu'il ne reste plus rien en clair.
Merci.
Ca me semble bizarre comme pratique.
Aurais-tu une explication plus concrète, car je pense qu'on va te donner une autre solution.
Salut
Ca m'a l'air assez délicat à réaliser ! Je ne sais pas si tu peux projeter une zone de mémoire mappée et lui dire de reprendre l'exécution en cours. J'aurais tendance à dire que ce n'est pas possible autrement qu'en touchant à la programmation kernel. Du reste, j'ai des doutes sur l'efficacité d'une telle démarche, car il te faudra bien stocker une clé privée quelque part. Le plus simple ne serait-il pas de juste encrypter le partition sur laquelle tu stcokes ton image ?
En faite , je voudrais faire ça pour contrer les scans mémoires ,par exemple j'ai un exécutable , je map moi même sont image puis je l'exécute, lorsque je detecte un scan je voudrais suspendre l'exécution de l'image ,tout crypter (y compris les variable associée etc.) ou tout démapper puis ensuite reprendre la ou j'avais suspendu, voilà je ne sais pas si c'est plus clair mais je n'ai pas mes codes sous la main, est-ce que en cryptant simplement l'image mappée avec mapviewoffile suffirat ?Envoyé par leternel
Pour ce que je souhaite faire je pense pas avoir besoin de cryptage asymétrique,ni d'utiliser des fonctions du kernel.Encrypter toutes la partition ce n'est pas une bonne idee non plus
Juste une petite précision: Yohann m'a aussi demandé des trucs sur les hooks clavier.
Hooking clavier + (techniques d'obfuscation et anti-débogage) + (questions sur Open SSL, tor API) + (questions sur effacement sécurisé)...
SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.
"Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
Apparently everyone. -- Raymond Chen.
Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.
Sans doute s'intéresse-t-il au développement d'un anti-virus?
Répondre avec citation
Partager