elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Consulta sobre inyeccion y detección
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Consulta sobre inyeccion y detección  (Leído 3,755 veces)
LeandroA


Desconectado Desconectado

Mensajes: 760


www.leandroascierto.com


Ver Perfil WWW
Consulta sobre inyeccion y detección
« en: 12 Enero 2011, 12:54 pm »

Hola tengo una duda acerca de la heurística de los AV, supongamos que una Aplicación "A" hace una inyeccion de una Aplicación "B", digamos que la App A no es detectada pero la App B si por los AV, en ningún momento se escribe la Aplicación "B" en el disco rígido todo se maneja en memoria, es posible que los AV detecten esto?
digamos los AV que conozco detecta un archivo malicioso antes de ejecutarse, puede ser que los detecte ejecutandose por hacer algo sospechoso?

si es así, que antivirus conocen ustedes que detecte un código malicioso en ejecución?

Saludos.
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Consulta sobre inyeccion y detección
« Respuesta #1 en: 12 Enero 2011, 14:08 pm »

La mayoría de crypters se basan en eso mismo, descifrar y ejecutar la aplicación maligna en memoria, sin que toque el disco. El problema es que por el simple hecho de inyectar los antivirus van a chillar, a no ser que encuentres una forma de inyectar muy ingeniosa, pero es difícil pues sólo hay la API's que hay. En fin, el antivirus va a chillar al ejecutar la aplicación A porque va a saber que estás intentando ejecutar algo desconocido en memoria.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
LeandroA


Desconectado Desconectado

Mensajes: 760


www.leandroascierto.com


Ver Perfil WWW
Re: Consulta sobre inyeccion y detección
« Respuesta #2 en: 12 Enero 2011, 18:36 pm »

Esta bien, pero si los antivirus no detectan las Apis que estoy utilizando (digamos que utilizaria un TLB para declararlas) entonces no chillarian (Por lo menos hasta que el Cripter no sea reconocido por los AV)

Es eso afirmativo.
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Consulta sobre inyeccion y detección
« Respuesta #3 en: 12 Enero 2011, 18:41 pm »

No sería detectado por firmas ni por heurística, pero por la proactiva sí, osea, al momento de llamar a WriteProcessMemory, por ejemplo, el antivirus chillará.

Saludos
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Consulta sobre inyección en Backtrack
Wireless en Linux
Zinc 2 2,654 Último mensaje 13 Junio 2010, 23:04 pm
por Zinc
Consulta sobre Inyeccion de una dll en un proceso
Programación Visual Basic
saratoga2k 0 1,843 Último mensaje 6 Abril 2011, 00:12 am
por saratoga2k
Sobre la detección del Keylogger por el antivirus « 1 2 »
Hacking
DefaultUser 11 8,741 Último mensaje 27 Enero 2014, 04:18 am
por simorg
[CONSULTA] Detección de intrusos
Hacking Wireless
Srare 2 2,751 Último mensaje 21 Febrero 2017, 11:05 am
por ppzeta
[Pregunta]: ¿Existe una vulnerabilidad de inyección en esta consulta?
Desarrollo Web
Leguim 3 3,125 Último mensaje 12 Diciembre 2020, 20:37 pm
por Danielㅤ
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines