Actualmente estoy investigando ataques de inyección de memoria en juegos en Windows 7/10.
Después de revisar varios subprocesos sobre este tema, hay algunas preguntas que aún no están claras.
-
la inyección de DLL se puede detectar fácilmente mediante el uso de la introspección. Incluso si parchea y firma una DLL existente, el SHA1 no coincidirá y causará señales de advertencia, asumiendo que el cliente del juego tiene detección de todo esto. ¿Correcto?
-
La inyección de memoria se puede usar para inyectar código malicioso, sin embargo, al parecer, esto solo se puede lograr mediante el uso de un módulo kernel firmado ya que el espacio de la memoria está protegido contra la lectura / escritura de otros procesos. ¿Correcto?
-
Si se usa un módulo de kernel para inyectar en una memoria de procesos, ¿el proceso puede detectar esto? Por ejemplo, digamos que hay una cadena en la memoria que apunta a una ruta del disco (
/conf/something.cnf
), si se sobrescribió con una cadena con la misma longitud, ¿el proceso podría detectar que la memoria se sobrescribió?