Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: Borito30 en 27 Noviembre 2016, 16:58 pm


Título: Pregunta sobre inyeccion dll, que pasa si el proceso se cierra
Publicado por: Borito30 en 27 Noviembre 2016, 16:58 pm
Hola una vez matado el proceso, la dll inyectada al proceso desaparece obviamente. Entonces una vez que se mata el proceso la inyección desaparece no es posible que se pueda reanudar una vez que ejecute un nuevo proceso ya que el PID sera diferente. ¿Alguien sabe si es verdad que existe alguna manera, una vez matado el proceso para que se pueda inyectar de nuevo al nuevo proceso con un nuevo PID? yo lo veo imposible. Perdonar si escribo mal pero tengo dislexia y miopia graves xD

Creo que la clave esta aqui, la dll es capaz de acoplarse y desacoplarse del proceso. Por lo que al final es muy dificil que termine con el proceso.

Respuesta:
Código:
case DLL_PROCESS_ATTACH:
			tu funcion();
			break;
case DLL_PROCESS_DETACH:
			tu funcion();
			break;

Título: Re: Pregunta sobre inyeccion dll, que pasa si el proceso se cierra
Publicado por: MCKSys Argentina en 27 Noviembre 2016, 17:33 pm
Si el código de la dll que inyectas tiene el inyector también, te puedes inyectar en otro proceso cuando el proceso se esté cerrando.

A menos que lo "maten" (con el Taskman o Process Explorer o lo que sea), la dll recibirá el callback en el EP indicándole que el proceso se está cerrando (o que la están descargando).

Saludos!

Título: Re: Pregunta sobre inyeccion dll, que pasa si el proceso se cierra
Publicado por: Borito30 en 27 Noviembre 2016, 17:55 pm
Pero usando api hooking facilmente uno puede interceptar el cierre del proceso persistiendolo o lo que sea y en ese momento migrar a otro proceso. Pienso que esta manera es la más viable para una dll sobrevivir.
o incluso persistir el proceso que usa la dll etc..
Cita de: MCKSys Argentina en 27 Noviembre 2016, 17:33 pm
Si el código de la dll que inyectas tiene el inyector también, te puedes inyectar en otro proceso cuando el proceso se esté cerrando.

A menos que lo "maten" (con el Taskman o Process Explorer o lo que sea), la dll recibirá el callback en el EP indicándole que el proceso se está cerrando (o que la están descargando).

Saludos!
tienes razón es muy fragil la dll entonces



MOD: No hacer triple post,. Usa el botón modificar.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines