Consulta sobre inyeccion y detección

Iniciado por LeandroA, 12 Enero 2011, 12:54 PM

0 Miembros y 1 Visitante están viendo este tema.

LeandroA

Hola tengo una duda acerca de la heurística de los AV, supongamos que una Aplicación "A" hace una inyeccion de una Aplicación "B", digamos que la App A no es detectada pero la App B si por los AV, en ningún momento se escribe la Aplicación "B" en el disco rígido todo se maneja en memoria, es posible que los AV detecten esto?
digamos los AV que conozco detecta un archivo malicioso antes de ejecutarse, puede ser que los detecte ejecutandose por hacer algo sospechoso?

si es así, que antivirus conocen ustedes que detecte un código malicioso en ejecución?

Saludos.

[Zero]

La mayoría de crypters se basan en eso mismo, descifrar y ejecutar la aplicación maligna en memoria, sin que toque el disco. El problema es que por el simple hecho de inyectar los antivirus van a chillar, a no ser que encuentres una forma de inyectar muy ingeniosa, pero es difícil pues sólo hay la API's que hay. En fin, el antivirus va a chillar al ejecutar la aplicación A porque va a saber que estás intentando ejecutar algo desconocido en memoria.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

LeandroA

Esta bien, pero si los antivirus no detectan las Apis que estoy utilizando (digamos que utilizaria un TLB para declararlas) entonces no chillarian (Por lo menos hasta que el Cripter no sea reconocido por los AV)

Es eso afirmativo.

[Zero]

No sería detectado por firmas ni por heurística, pero por la proactiva sí, osea, al momento de llamar a WriteProcessMemory, por ejemplo, el antivirus chillará.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche