¿Preguntas para enganchar IAT?

Navega tus respuestas
1

He investigado el enganche de IAT por malware y todavía tengo algunas preguntas:

  1. Si el IAT del programa en la memoria es diferente del IAT del programa estático (antes de que se haya ejecutado), ¿esto implica un api hook?

  2. ¿Cómo se detectaron estos? He leído la pregunta aquí: ¿Cuáles son los métodos para encontrar APIs y funciones enlazadas? pero todavía estoy confundido. ¿Podría proporcionar una explicación básica paso a paso?

  3. ¿Existen usos legítimos para enganchar api además de los antivirus que podrían dar lugar a falsas posturas en una herramienta de detección?

pregunta Nat 03.08.2017 - 11:49
fuente

1 respuesta

1

La detección de un rootkit es difícil por naturaleza, ya que los rootkits a menudo emplean métodos para evadir la detección. Un rootkit bien escrito debería ser indetectable. Sin embargo, los rootkits que están mal codificados pueden dejar rastros de su actividad en el sistema (no se pueden eliminar los registros, etc.).

  • Bibliotecas de enlaces dinámicos sin firmar cargadas en (todos) los procesos
  • Sumas de comprobación de código aleatorio
  • Métodos generales de detección de malware

También vea: enlace

    
respondido por el Will 03.08.2017 - 19:08
fuente

Lea otras preguntas en las etiquetas

Copia de seguridad en un NAS asignado no persistente Encontrar el IP de un ESSID dado