¿Qué método podría usar un atacante de caja blanca para rastrear la eliminación de memoria / archivos?

5

Una pregunta bastante teórica: asumiendo que hay memoria con un malware dentro de ella. El objetivo del malware es detectar si una aplicación legítima está a punto de eliminar el contenido de la memoria.

Si se reconoce, el malware copiará las partes, que aún no se han eliminado, a otras ubicaciones que ya se han eliminado y, por lo tanto, revertirá el proceso de eliminación.

Mis preguntas son: ¿cómo podría un malware advertir que se inició una operación de eliminación? ¿Y podría el malware reconocer de alguna manera las direcciones del proceso de eliminación?

De uno considera la eliminación en términos de sobrescribir la memoria existente con un valor constante (0 o 1), eliminar un archivo grande debería disminuir la entropía de los contenidos de la memoria. Sin embargo, creo que este no es un enfoque razonable.

    
pregunta Richard Laurant 22.10.2014 - 13:04
fuente

1 respuesta

1

Ha habido más instancias visibles de " solo memoria malware "y creo que desde una perspectiva práctica, usted se volvería loco al tratar de encontrar esa aguja en el pajar. ¿Qué podrías buscar? Page_Execute_ReadWrite ? Mutexes? No solo ese problema (que requiere una búsqueda), sino que cuando el malware comienza a conectarse a otros procesos, vería muchos problemas conflictivos con procesos legítimos engañados para hacer algo (falsos positivos) junto con tratar de analizar constantemente la ejecución (cambio). ) llamadas de memoria, rutinas, subrutinas, abre, cierra, etc.

Entonces, pregunta: " cómo podría un malware detectar que se inició una operación de eliminación " y poseo: "esto podría variar, cada escritor de malware es diferente, nunca podría haber un método estático para hacer esto." Un atacante podría encadenar múltiples variables para asegurarse de que siempre se ejecutarán sin tener que preocuparse por si alguien lo eliminará. Por ejemplo:

(pseudocódigo)

home=c:\Users\someone\appdata\hidden_folder\here

if [ $home >= 0 ]
   then
       call this other {app, dll, cab, zip, etc}
       run other
fi

"Comprueba si existo, si no abro algo para volver a casa"

Esto podría vivir fuera del proceso activo en otra aplicación / llamada mínima. No habría necesidad de programarlo en el propio malware. Algo así como un gotero. Un dropper no es el malware en sí mismo, solo un medio para un fin (salir y descargar el archivo malicioso).

    
respondido por el munkeyoto 22.10.2014 - 13:50
fuente

Lea otras preguntas en las etiquetas