|
Título: Consulta sobre inyeccion y detección Publicado por: LeandroA en 12 Enero 2011, 12:54 pm Hola tengo una duda acerca de la heurística de los AV, supongamos que una Aplicación "A" hace una inyeccion de una Aplicación "B", digamos que la App A no es detectada pero la App B si por los AV, en ningún momento se escribe la Aplicación "B" en el disco rígido todo se maneja en memoria, es posible que los AV detecten esto?
digamos los AV que conozco detecta un archivo malicioso antes de ejecutarse, puede ser que los detecte ejecutandose por hacer algo sospechoso? si es así, que antivirus conocen ustedes que detecte un código malicioso en ejecución? Saludos. Título: Re: Consulta sobre inyeccion y detección Publicado por: [Zero] en 12 Enero 2011, 14:08 pm La mayoría de crypters se basan en eso mismo, descifrar y ejecutar la aplicación maligna en memoria, sin que toque el disco. El problema es que por el simple hecho de inyectar los antivirus van a chillar, a no ser que encuentres una forma de inyectar muy ingeniosa, pero es difícil pues sólo hay la API's que hay. En fin, el antivirus va a chillar al ejecutar la aplicación A porque va a saber que estás intentando ejecutar algo desconocido en memoria.
Saludos Título: Re: Consulta sobre inyeccion y detección Publicado por: LeandroA en 12 Enero 2011, 18:36 pm Esta bien, pero si los antivirus no detectan las Apis que estoy utilizando (digamos que utilizaria un TLB para declararlas) entonces no chillarian (Por lo menos hasta que el Cripter no sea reconocido por los AV)
Es eso afirmativo. Título: Re: Consulta sobre inyeccion y detección Publicado por: [Zero] en 12 Enero 2011, 18:41 pm No sería detectado por firmas ni por heurística, pero por la proactiva sí, osea, al momento de llamar a WriteProcessMemory, por ejemplo, el antivirus chillará.
Saludos |