Tengo un volcado de memoria, y tiene algunos programas maliciosos en él
y cuando uso el comando malfind, casi todos los procesos que muestra tienen MUCHOS AGREGOS [EAX], comandos de ensamblaje AL, sé x86 pero no entiendo por qué un proceso tiene tantos agregados como esto, y asumo que AL es un registro, pero aún no entiendo el significado de esto
¿Esto es una bandera roja?
Aquí hay uno de ellos:
Process: conhost.exe Pid: 1800 Address: 0x540000
Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE
Flags: CommitCharge: 1, MemCommit: 1, PrivateMemory: 1, Protection: 6
0x00540000 e9 ec 01 26 75 00 00 00 00 00 00 00 00 00 00 00 ...&u...........
0x00540010 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x00540020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x00540030 00 00 8b ff 55 8b ec e9 48 3b e2 75 00 00 00 00 ....U...H;.u....
0x00540000 e9ec012675 JMP 0x757a01f1
0x00540005 0000 ADD [EAX], AL
0x00540007 0000 ADD [EAX], AL
0x00540009 0000 ADD [EAX], AL
0x0054000b 0000 ADD [EAX], AL
0x0054000d 0000 ADD [EAX], AL
0x0054000f 0000 ADD [EAX], AL
0x00540011 0000 ADD [EAX], AL
0x00540013 0000 ADD [EAX], AL
0x00540015 0000 ADD [EAX], AL
0x00540017 0000 ADD [EAX], AL
0x00540019 0000 ADD [EAX], AL
0x0054001b 0000 ADD [EAX], AL
0x0054001d 0000 ADD [EAX], AL
0x0054001f 0000 ADD [EAX], AL
0x00540021 0000 ADD [EAX], AL
0x00540023 0000 ADD [EAX], AL
0x00540025 0000 ADD [EAX], AL
0x00540027 0000 ADD [EAX], AL
0x00540029 0000 ADD [EAX], AL
0x0054002b 0000 ADD [EAX], AL
0x0054002d 0000 ADD [EAX], AL
0x0054002f 0000 ADD [EAX], AL
0x00540031 008bff558bec ADD [EBX-0x1374aa01], CL
0x00540037 e9483be275 JMP 0x76363b84
0x0054003c 0000 ADD [EAX], AL
0x0054003e 0000 ADD [EAX], AL
también ¿cuál es esa dirección JMP? ¿Está eso dentro del espacio de memoria del proceso, y apunta a una instrucción?
¿Cómo puedo examinar esa dirección?