¿Cómo ocultar el archivo dll inyectado?

Question

¿Cómo ocultar el archivo dll inyectado?

#1 de Daisetsu (0 votos)
#2 de MSalters (0 votos)

0

Entonces, si inyecto mi dll en un proceso (o todos los procesos en ejecución, incluidos los AV) y engancha algunas funciones, ¿por qué no puedo simplemente enganchar las funciones (funciones WinAPI) que podrían detectar mi proceso de inyección y enganche? Pero la cuestión es que no sé qué API utilizan los AV para detectarla. ¿Conoce alguna? ¿O los AV utilizan WINAPI para detectar estos ganchos? o inyecciones?

Algunas preguntas: * ¿Qué WinAPI posible se puede usar para detectar hilos dll inyectados o desconocidos (de CreateRemoteThread)? Como, tal vez una API que enumere todos los procesos o subprocesos dll. * Si engancho esas funciones, ¿podré ocultar mi enganche?

Lo que estoy hablando aquí es que, ¿no puedo enganchar las funciones que usan los AV para detectar mi actividad maliciosa?

malware

pregunta Cedrick 06.10.2018 - 02:38

fuente

2 respuestas

Lea otras preguntas en las etiquetas malware

La mejor fuente de orientación de configuración de seguridad Cómo convertir mi cadena de certificados a PFX sin una contraseña

score 0 · Answer 1

Los proveedores de antivirus no publicitan todos sus métodos de detección de malware, de lo contrario, alguien más los copiaría. Hay más en la detección que ver llamadas a la API.

¿Estás tratando de detectar archivos DLL que te enganchan, o es solo un ejercicio mental?

Aquí hay una discusión sobre el intercambio de apilamiento de ingeniería inversa que habla de que voy a enganchar la detección desde un POV de software víctima.

enlace

Esa comunidad puede ser una mejor opción para esta pregunta, ya que la inyección de DLL es común en el malware y analizan el malware durante todo el día.

score 0 · Answer 2

El principal problema con su enfoque es que un proceso no necesita ninguna API para verificar su propio espacio de direcciones. Sólo puede leer de él; Esa es más o menos la definición de su espacio de direcciones. Por lo tanto, un producto AV puede configurar un proceso de "cebo" que sabe lo que debe y no debe estar ejecutándose en su espacio de direcciones, y detectar un código inesperado.

¿Sabrías cómo se ve este proceso de cebo? No es realista. El código AV puede generar este proceso de cebo sobre la marcha, por lo que es diferente cada vez. Para otro producto de AV, esto se vería muy mal, por lo tanto, se recomienda nunca ejecutar dos productos de AV en paralelo.

Hay una ligera complicación con este método: tus ganchos pueden ser un tanto sigilosos y, en realidad, generarse sobre la marcha a través de un controlador de excepciones. Pero este controlador de excepciones en sí mismo tiene que existir, y puede ser detectado en su lugar.