Autor
|
Tema: Consulta sobre inyeccion y detección (Leído 3,755 veces)
|
LeandroA
Desconectado
Mensajes: 760
www.leandroascierto.com
|
Hola tengo una duda acerca de la heurística de los AV, supongamos que una Aplicación "A" hace una inyeccion de una Aplicación "B", digamos que la App A no es detectada pero la App B si por los AV, en ningún momento se escribe la Aplicación "B" en el disco rígido todo se maneja en memoria, es posible que los AV detecten esto? digamos los AV que conozco detecta un archivo malicioso antes de ejecutarse, puede ser que los detecte ejecutandose por hacer algo sospechoso?
si es así, que antivirus conocen ustedes que detecte un código malicioso en ejecución?
Saludos.
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
La mayoría de crypters se basan en eso mismo, descifrar y ejecutar la aplicación maligna en memoria, sin que toque el disco. El problema es que por el simple hecho de inyectar los antivirus van a chillar, a no ser que encuentres una forma de inyectar muy ingeniosa, pero es difícil pues sólo hay la API's que hay. En fin, el antivirus va a chillar al ejecutar la aplicación A porque va a saber que estás intentando ejecutar algo desconocido en memoria.
Saludos
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza. Nietzsche
|
|
|
LeandroA
Desconectado
Mensajes: 760
www.leandroascierto.com
|
Esta bien, pero si los antivirus no detectan las Apis que estoy utilizando (digamos que utilizaria un TLB para declararlas) entonces no chillarian (Por lo menos hasta que el Cripter no sea reconocido por los AV)
Es eso afirmativo.
|
|
|
En línea
|
|
|
|
[Zero]
Wiki
Desconectado
Mensajes: 1.082
CALL DWORD PTR DS:[0]
|
No sería detectado por firmas ni por heurística, pero por la proactiva sí, osea, al momento de llamar a WriteProcessMemory, por ejemplo, el antivirus chillará.
Saludos
|
|
|
En línea
|
“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza. Nietzsche
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Consulta sobre inyección en Backtrack
Wireless en Linux
|
Zinc
|
2
|
2,654
|
13 Junio 2010, 23:04 pm
por Zinc
|
|
|
Consulta sobre Inyeccion de una dll en un proceso
Programación Visual Basic
|
saratoga2k
|
0
|
1,843
|
6 Abril 2011, 00:12 am
por saratoga2k
|
|
|
Sobre la detección del Keylogger por el antivirus
« 1 2 »
Hacking
|
DefaultUser
|
11
|
8,741
|
27 Enero 2014, 04:18 am
por simorg
|
|
|
[CONSULTA] Detección de intrusos
Hacking Wireless
|
Srare
|
2
|
2,751
|
21 Febrero 2017, 11:05 am
por ppzeta
|
|
|
[Pregunta]: ¿Existe una vulnerabilidad de inyección en esta consulta?
Desarrollo Web
|
Leguim
|
3
|
3,125
|
12 Diciembre 2020, 20:37 pm
por Danielㅤ
|
|