elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Se puede evitar inyección DLL ?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Se puede evitar inyección DLL ?  (Leído 3,741 veces)
Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Se puede evitar inyección DLL ?
« en: 29 Noviembre 2013, 05:38 am »

Hola amigos!

Bueno, la consulta es la siguiente, estoy haciendo un inyector dll, e intento que sea lo mas "sutil" posible, pero ese no es el problema, el problema es que por lo que puedo ver en el Visual Studio, se esta cargando una dll del antivirus Avast, la dll es snxhk.dll, y como yo no la estoy cargando, creo que es evidente que se esta inyectando en mi inyector! Los malditos de Avast inyectan una dll en todos los ejecutables??

Me están haciendo lo mismo que yo quiero hacer en otros programas!  :xD
Lo que se me ocurre, es impedir la inyección.. es esto posible? O alguna otra solución?

Saludos!
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Se puede evitar inyección DLL ?
« Respuesta #1 en: 29 Noviembre 2013, 06:30 am »

Eso es normal en Antivirus, lo mismo en Comodo,Panda,etc. Antivirus injectan desde modo kernel o al menos lo deberían de hacer desde ese punto.
Aunque también existe varias maneras como por ejemplo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Aunque este tipo de metodos de carga sería inutil/innecesario en programas antivirus.

Así que impedir la inyección de la DLL a tu proceso el cual ni siquiera se ha ejecutado ninguna instrucción de tu codigo es imposible, pero una vez tu codigo en ejecución podrias intentar desmapear/Descargar la DLL aunque realmente un buen antivirus lo preveniría.

Realmente es de encontrar el punto hasta donde Antivirus protejen sus propios componentes, usar alternativas, usar nuevas rutas del sistema operativo que aun no son controladas por Antivirus, etc. Y pensando bien, Si diseñara mi propio antivirus, porqué cargaría una DLL en todo proceso? Cuál es la necesidad del modulo, cual seria la tarea? la cual no podria hacerse desde mi modulo de kernel? Espero que no sea la misma que los idiotas de Comodo: hookear algunas funciones en modo usuario  :rolleyes:
En línea

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: Se puede evitar inyección DLL ?
« Respuesta #2 en: 29 Noviembre 2013, 17:25 pm »

mmm... interesante.. evidentemente tiene que haber un propósito para inyectar una dll,, no creo que sea coincidencia que lo hagan varios antivirus,, probablemente esa dll pueda resolver mejor que es lo que esta haciendo el ejecutable en todo momento, no se, se me ocurre por estar inyectada en el mismo ejecutable.. Hay algo que nunca entendí, no es posible "atacar" al mismo antivirus y desactivar algún modulo? Por ejemplo la inyección? Claro, eso debería ser en Ring0.. pero se tiene que poder, no?

Supongamos este proceso:

1) Archivo Malo.exe analiza el SO y el AV instalados..
2) Malo.exe procede a descargar un modulo de kernel acorde al SO y al AV desde un servidor X
3) Malo.exe ahora instala los módulos de kernel necesarios (Rootkits podríamos decir)
4) Malo.exe descarga otro archivo, "Malo2.exe", este archivo queda oculto por el/los Rootkits antes instalado.
5) Malo.exe se elimina, o queda a la espera de una nueva victima.. (Como guste mas)

Bueno, si Malo.exe es indetectado, lo demás es mas sencillo,, dedicarle tiempo a los módulos de kernel, hacer uno por SO y AV posibles (de los mas usados, claro)

Que les parece?  >:D
En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Se puede evitar inyección DLL ?
« Respuesta #3 en: 29 Noviembre 2013, 21:40 pm »

mmm... interesante.. evidentemente tiene que haber un propósito para inyectar una dll,, no creo que sea coincidencia que lo hagan varios antivirus,, probablemente esa dll pueda resolver mejor que es lo que esta haciendo el ejecutable en todo momento, no se, se me ocurre por estar inyectada en el mismo ejecutable.. Hay algo que nunca entendí, no es posible "atacar" al mismo antivirus y desactivar algún modulo? Por ejemplo la inyección? Claro, eso debería ser en Ring0.. pero se tiene que poder, no?

Supongamos este proceso:

1) Archivo Malo.exe analiza el SO y el AV instalados..
2) Malo.exe procede a descargar un modulo de kernel acorde al SO y al AV desde un servidor X
3) Malo.exe ahora instala los módulos de kernel necesarios (Rootkits podríamos decir)
4) Malo.exe descarga otro archivo, "Malo2.exe", este archivo queda oculto por el/los Rootkits antes instalado.
5) Malo.exe se elimina, o queda a la espera de una nueva victima.. (Como guste mas)

Bueno, si Malo.exe es indetectado, lo demás es mas sencillo,, dedicarle tiempo a los módulos de kernel, hacer uno por SO y AV posibles (de los mas usados, claro)

Que les parece?  >:D
Ninguna necesidad de cargar un modulo de kernel para remover cualquíer AV de hoy en día incluyendo Kaspersky 2014 puede ser removido desde modo usuario.
Esta es una colección vieja pero algunos aún funcionan y es buena referencía para ideas: AV shit

« Última modificación: 29 Noviembre 2013, 22:22 pm por x64Core » En línea

Vaagish


Desconectado Desconectado

Mensajes: 875



Ver Perfil
Re: Se puede evitar inyección DLL ?
« Respuesta #4 en: 29 Noviembre 2013, 22:45 pm »

Citar
Esta es una colección vieja pero algunos aún funcionan y es buena referencía para ideas: AV shit

Ni me lo detecto como malware, ni funciono tampoco jaja el programa carga y todo, pero no funcionan los métodos.. igual bien dijiste, sirve para sacar ideas  ::)

Gracias!! Saludos!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
como evitar la inyeccion sql
Nivel Web
CICOLO_111234 2 10,769 Último mensaje 20 Abril 2009, 01:02 am
por WHK
Evitar Inyeccion en MySQL « 1 2 »
PHP
ZharkD 13 9,757 Último mensaje 14 Mayo 2010, 16:37 pm
por ZharkD
¿cómo evitar inyección sql en php? « 1 2 »
PHP
kinos 10 14,001 Último mensaje 11 Octubre 2010, 23:27 pm
por el-brujo
Como evitar una inyección sql?
Nivel Web
andvilla07 1 2,293 Último mensaje 26 Noviembre 2012, 15:46 pm
por Shell Root
Cómo evitar inyección SQL?
PHP
exelovin 6 4,003 Último mensaje 13 Abril 2013, 12:33 pm
por exelovin
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines