elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Píldoras formativas en seguridad de la información


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  .NET (Moderadores: Novlucker, seba123neo, kub0x, Eleкtro)
| | | |-+  Escanear memoria.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Escanear memoria.  (Leído 494 veces)
Rekt

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Escanear memoria.
« en: 22 Julio 2017, 12:37 »

Hola, estoy programando un programa que detecta malware según ciertos patrones que tenga.
La verdad es que soy novato con lo relacionado con memoria y no estoy seguro de cómo hacerlo, estoy interesado en escanear cadenas/strings que son estáticas en la memoria pero no he encontrado ninguna forma eficaz de hacerlo.

He encontrado esto en un foro, pero siempre devuelve 0

Código
  1.            public static List<MEMORY_BASIC_INFORMATION> MemReg { get; set; }
  2.  
  3.            public static void MemInfo(IntPtr pHandle)
  4.            {
  5.                IntPtr Addy = new IntPtr();
  6.                while (true)
  7.                {
  8.                    MEMORY_BASIC_INFORMATION MemInfo = new MEMORY_BASIC_INFORMATION();
  9.                    int MemDump = VirtualQueryEx(pHandle, Addy, out MemInfo, Marshal.SizeOf(MemInfo));
  10.                    if (MemDump == 0) break;
  11.                    if ((MemInfo.State & 0x1000) != 0 && (MemInfo.Protect & 0x100) == 0)
  12.                        MemReg.Add(MemInfo);
  13.                    Addy = new IntPtr(MemInfo.BaseAddress.ToInt32() + MemInfo.RegionSize);
  14.                }
  15.            }
  16.            public static IntPtr _Scan(byte[] sIn, byte[] sFor)
  17.            {
  18.                int[] sBytes = new int[256]; int Pool = 0;
  19.                int End = sFor.Length - 1;
  20.                for (int i = 0; i < 256; i++)
  21.                    sBytes[i] = sFor.Length;
  22.                for (int i = 0; i < End; i++)
  23.                    sBytes[sFor[i]] = End - i;
  24.                while (Pool <= sIn.Length - sFor.Length)
  25.                {
  26.                    for (int i = End; sIn[Pool + i] == sFor[i]; i--)
  27.                        if (i == 0) return new IntPtr(Pool);
  28.                    Pool += sBytes[sIn[Pool + End]];
  29.                }
  30.                return IntPtr.Zero;
  31.            }
  32.            public static IntPtr AobScan(string ProcessName, byte[] Pattern)
  33.            {
  34.                Process[] P = Process.GetProcessesByName(ProcessName);
  35.                if (P.Length == 0) return IntPtr.Zero;
  36.                MemReg = new List<MEMORY_BASIC_INFORMATION>();
  37.                MemInfo(P[0].Handle);
  38.                for (int i = 0; i < MemReg.Count; i++)
  39.                {
  40.                    byte[] buff = new byte[MemReg[i].RegionSize];
  41.                    ReadProcessMemory(P[0].Handle, MemReg[i].BaseAddress, buff, MemReg[i].RegionSize, 0);
  42.  
  43.                    IntPtr Result = _Scan(buff, Pattern);
  44.                    if (Result != IntPtr.Zero)
  45.                        return new IntPtr(MemReg[i].BaseAddress.ToInt32() + Result.ToInt32());
  46.                }
  47.                return IntPtr.Zero;
  48.            }
  49.  


« Última modificación: 22 Julio 2017, 12:51 por Rekt » En línea

TickTack

Desconectado Desconectado

Mensajes: 86


Ver Perfil
Re: Escanear memoria.
« Respuesta #1 en: 23 Julio 2017, 20:28 »

Hola Rekt,

quieres escanear procesos de memoria?

O a que te refieres con memoria? Que memoria?


Gracias y saludos


En línea

Rekt

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Escanear memoria.
« Respuesta #2 en: 26 Agosto 2017, 15:07 »

Hola Rekt,

quieres escanear procesos de memoria?

O a que te refieres con memoria? Que memoria?


Gracias y saludos
Perdoan por no responder antes..
A ver, se me ha ocurrido que una forma de detectar malware es escanear todos los procesos abiertos buscando ciertos patrones que siguen, por ejemplo un string.
He encontrado una base de datos que tiene todos estos datos, patrones en memoria, hash de virus, etc y me gustaría hacer un programa que buscase estos strings/patrones en la memoria de todos los programas.
Pero no hace falta que sean exactamente todos, los programas x64 bits pueden ser saltados.
La cosa es que el codigo que he proporcionado siempre me devuelve 0 o se queda atascado  :(
Basicamente lo que quiero hacer es un loop en la memoria de cada proceso y mirar si contiene alguno de los strings que yo tengo en la base de datos, y si así fuese, el proceso seria clasificado como malware.
« Última modificación: 26 Agosto 2017, 15:12 por Rekt » En línea

Eleкtro
🌍 🕉️ 🛏️ Novato Astral 🛏️ 🕉️ 🌍 y...
Moderador Global
***
Conectado Conectado

Mensajes: 9.280


El sentido común es el menos común de los sentidos


Ver Perfil
Re: Escanear memoria.
« Respuesta #3 en: 5 Septiembre 2017, 03:52 »

Hola.

O a que te refieres con memoria? Que memoria?

Doy a entender que se debe estar refiriendo al espacio de memoria asignado/alojado por "X" proceso.



He encontrado esto en un foro, pero siempre devuelve 0

Puedes mencionar ese foro. Muestra la firma de las funciones VirtualQueryEx y ReadProcessMemory, una firma equivocada podría ser el causante de todo un problema, y no somos adivinos. Un valor de retorno de Cero en cualquiera de ambas funciones significa ERROR; si es eso lo que te devuelve Cero entonces depura dicho error con el miembro System.Runtime.InteropServices.Marshal.GetLastWin32Error() + la clase System.ComponentModel.Win32Exception.

En general ese código es bastante spaghetti.



Lo que no sé es si quieres leer un segmento/región/página de la memoria, o el espacio de memoria al completo. En el segundo caso a esto lo podriamos llamar un dump o dumpeo de la memoria, y para ello la API de Windows nos proporciona una función de nombre MiniDumpWriteDump:


Dicha función es útil en escenarios de depuración, en casos donde queramos dumpear la memoria junto a otra información de depuración de un proceso (ej. los módulos cargados), a un archivo local. Hay que tener en cuenta que esto no se limita a escribir los datos/bytes "raw" del espacio de memoria, sino un archivo de extensión .dmp (minidump) que podemos leer con ciertas herramientas de depuración. Funciona tanto para dumpear executables .NET, como executables nativos, pero lo cierto es que por experiencia sé que puede dar problemas extraños al intentar dumpear algún proceso (nunca llegué a averiguar muy bien la razón).



...Pero todo esto que he explicado aquí arriba es puramente informativo, es para tomárselo como una alternativa (puesto que su propósito es escribir información de depuración, no solo los bytes raw de la memoria, como ya expliqué). La solución tradicional para leer/escanear la memoria de un proceso externo, bueno, lo cierto es que no soy un experto en temas de ing. inversa, pero yo diría que podría ser de la siguiente forma:

1. Utilizar la clase System.Diagnostics.Process (o en su defecto la función Win32 OpenProcess) para localizar el proceso objetivo y obtener su handle.

2. Utilizar la función Win32 VirtualQueryEx para determinar el tamaño de cada región de la memoria.

3. Utilizar la función Win32 ReadProcessMemory para leer la región de memoria.

Ejemplos por separado y para todo, los tienes en la World Wide Web.

Saludos.
En línea


[/cent
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Escanear la red
Hacking Básico
Neobius 4 1,765 Último mensaje 17 Febrero 2006, 21:07
por sukhoi25
Escanear direcciones ips
Dudas Generales
roothelp 3 734 Último mensaje 20 Septiembre 2006, 04:21
por Di~OsK
escanear pc
Seguridad
besk 1 943 Último mensaje 3 Marzo 2007, 12:53
por ghastlyX
Escanear IP
Redes
Alexmeisterm 2 2,007 Último mensaje 26 Octubre 2008, 01:26
por Alexmeisterm
escanear web
Hacking Básico
besk 4 3,397 Último mensaje 8 Abril 2009, 18:20
por NERV
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines