¿Estoy confundido y me gustaría saber la diferencia entre la inyección de DLL y la conexión de DLL? Estoy familiarizado con su uso en malware y sé que los key loggers lo utilizan. También sé que SetWindowsHooKEX se usa para enganchar DLL.
¿Estoy confundido y me gustaría saber la diferencia entre la inyección de DLL y la conexión de DLL? Estoy familiarizado con su uso en malware y sé que los key loggers lo utilizan. También sé que SetWindowsHooKEX se usa para enganchar DLL.
Enganche usa una función de sistema operativo para monitorear eventos enviados al proceso, como mensajes de teclado y mouse de bajo nivel. Las aplicaciones pueden utilizar un enlace dirigido o global para realizar un registro de teclas (malévolo) o escuchar pulsaciones de teclas para realizar funciones de valor agregado como la ejecución de macros u otras funciones de teclas de acceso rápido. (benevolente)
inyección de DLL es lo que suena, una biblioteca vinculada dinámica se inyecta en el proceso objetivo forzando el proceso para cargar el archivo DLL. Una vez cargada, la DLL inyectada puede actuar como una API a la que se puede acceder externamente desde el proceso (piense en la API de puerta trasera) y puede interactuar con las partes internas públicas del proceso que de otro modo sería imposible.
La inyección de DLL es principalmente utilizada de forma benevolente por los depuradores de software y el software de accesibilidad para discapacitados. Sin embargo, también se usa para hacer trampa en videojuegos para un solo jugador a través de cosas como cheat-engine y entrenadores.
Un entrenador utiliza ambas técnicas. La aplicación que se carga (el entrenador) enlaza la aplicación de destino y escucha las pulsaciones de teclas asociadas con la funcionalidad de las teclas de acceso rápido. Por lo general, al mismo tiempo, DLL inyectará la aplicación con su API de puerta trasera. Luego, el capacitador escucha las pulsaciones de teclas asociadas con la funcionalidad de las teclas de acceso rápido y, cuando se detecta ese evento, ejecuta la funcionalidad asociada a través de la API de puerta trasera.
En lo que respecta a la seguridad, no desea que ningún software que no sea de confianza realice ninguna de estas acciones. Debe ser muy cuidadoso con la persona en la que confía, y es por eso que los entrenadores que no tienen buena reputación son tan peligrosos de instalar y usar. Ambas técnicas requieren permisos elevados del sistema operativo, lo que les da acceso a otras características de sistema operativo de alto nivel que nunca querría que tuvieran un software no confiable.
Tenga en cuenta que al usar estas aplicaciones puede escuchar todo cuando está cargado. El hecho de que digan que inyectan "ApplicationA" no significa que no estén inyectando también los navegadores web y los administradores de contraseñas.
Utilice bajo su propio riesgo.