elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Donde mirar en Procesos Activos?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Donde mirar en Procesos Activos?  (Leído 4,151 veces)
Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Donde mirar en Procesos Activos?
« en: 9 Septiembre 2010, 19:10 pm »

Yo cada vez q ejecuto un programa me fijo en procesos para ver q hace el programa, por si se inyecta luego o se ejecutan otras cosas q no deberian.. pero yo en windows xp pongo en el administrador de tareas y pongo Procesos y clickeo en Nombre de usuario para q se ordenen y queden abajo los q no me importan q son los q dicen SYSTEM, Servicio local o servicio de red..
Hago eso ya q miro solo los q se ejecutaron como usuario, como el msnmsgr.exe, explorer.exe y chrome.exe por ejemplo..

La pregunta es.. un virus o algo puede crear el proceso en eso de SYSTEM q digo, o talvez inyectarse? Ya que por ejemplo instale el Malwarebytes y me crea un proceso como SYSTEM asique me pregunto.. Podria ser un virus? Miro mal los procesos entonces?

Otra cosa, uso spynet 2.6 hace un tiempo, tiene opcion para "inyectarse" en otro proceso, pongo entre "" porq la verdad no se inyecta, se crea otro.. es decir si pongo q se inyecte en el navegador por defecto me crea otro chrome.exe por ejemplo, entonces yo cierro el chrome ( la ventana no el proceso) y veo q sigo teniendo el proceso chrome.exe entonces me doy cuenta q me infecte..
Pero eso es error del spynet o porq pasa eso?

Espero que me contesten q me estoy sacando muchas dudas q tenia ;)
En línea

Karcrack


Desconectado Desconectado

Mensajes: 2.416


Se siente observado ¬¬'


Ver Perfil
Re: Donde mirar en Procesos Activos?
« Respuesta #1 en: 12 Septiembre 2010, 01:21 am »

Normalmente, para facilitar las cosas, la "inyeccion" de gran parte del malware es simplemente crear un proceso practicamente identico y punto...

Para ejecutar un proceso como SYSTEM has de registrar tu aplicacion como un servicio.
En línea

[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Donde mirar en Procesos Activos?
« Respuesta #2 en: 12 Septiembre 2010, 02:40 am »

Código:
http://foro.elhacker.net/analisis_y_diseno_de_malware/inyeccion_de_archivos_en_un_proceso_1_proceso_2_ejecutables-t280471.0.html

Saludos  :)
En línea


“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Edu


Desconectado Desconectado

Mensajes: 1.082


Ex XXX-ZERO-XXX


Ver Perfil
Re: Donde mirar en Procesos Activos?
« Respuesta #3 en: 12 Septiembre 2010, 21:24 pm »

Bueno entonces Karcrack me decis que la mayoria de los malwares ( entonces uno de esos el spynet) lo q hace es crear otro proceso identico y nada mas, asique son una ***** xD
Y [Zero] me pasa un code para si inyectarlo correctamente sin q se cree otro identico ni nada no?

Yo quiero saber lo teorico de todo esto porq me falta mucho para usar codes como el de Zero, ya q no me gusta usar cosas q no entiendo, pero todo de a poco.. ;)
Gracias!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[VB.NET] Listar procesos activos en un Listbox.
.NET (C#, VB.NET, ASP)
kub0x 2 5,126 Último mensaje 26 Agosto 2011, 04:09 am
por kub0x
Problema con procesos activos
Foro Libre
Almapa 7 3,257 Último mensaje 22 Marzo 2013, 00:33 am
por $Edu$
Obtener todos los procesos activos y los servicios que están usando « 1 2 »
Programación C/C++
el_doctor 16 7,726 Último mensaje 7 Octubre 2013, 18:11 pm
por el_doctor
¿Donde puedo mirar mi antivirus?
Seguridad
Ezzer 3 2,775 Último mensaje 5 Marzo 2021, 02:14 am
por Xyzed
MOVIDO: ¿Donde puedo mirar mi antivirus?
Dudas Generales
MCKSys Argentina 0 2,016 Último mensaje 4 Marzo 2021, 19:35 pm
por MCKSys Argentina
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines