Sobre inyecciones en EXE's y DLL

Martinss · 30 Mayo 2006, 04:32 AM

Hola, queria saber si es posible evitar las inyecciones de archivos DLL y EXE en tal proceso, recorri el foro en busca de informacion pero no se habla mucho de como bloquear las inyecciones en Visual Basic.

Yo ya he probado de varias formas pero siempre logran inyectar cosas raras en mi programa $:-\$

asi que nose, busco opiniones o ideas para poder evitarlas.

Saludos desde tucuman.

sch3m4 · 30 Mayo 2006, 08:44 AM

a no ser que enganches las apis que se usan... no veo otra forma

Hendrix · 30 Mayo 2006, 15:22 PM

Sips....creo que si no hookeas las apis que usan para inyectarse creo que no lo vas a poder parar... $:-\$ $:-\$ $:-\$

Salu2

byebye · 30 Mayo 2006, 15:39 PM

si puedes pararlo, depura tu propio proceso. te haces un "lanzador" que depure el ejecutable y no podran injectarle.

Martinss · 30 Mayo 2006, 19:25 PM

Cita de: Cara_Webo en 30 Mayo 2006, 15:39 PM
si puedes pararlo, depura tu propio proceso. te haces un "lanzador" que depure el ejecutable y no podran injectarle.

Me puedes explicar como es eso? $:-\$

byebye · 1 Junio 2006, 01:28 AM

pues digamos que creas un pequeño programa que aparentemente no tenga nada que ver con el original, este creara el proceso de tu programa "original" y depsues con DebugActiveProcess lo depura. al estar en depuracion cuando quieran acceder a el les dira acceso denegado. de todos modos t lo pueden injectar en el que carga el programa.

LuckyMonkey · 12 Junio 2006, 14:54 PM

Si se ha inyectado cómo dll otra opción és desde tu programa comprobar que sólo estén cargadas las librerias que utiliza tu programa en caso de encontrar alguna que no es logico que esté, pues la descargas. Otra opción lógicamente con más estilo seria adelantarte y hookear createremotethread i comprobar que no lo estén haciendo a tu programa, pero lógicamente esto con vb mal, muy mal lo veo. Otra opción sería mirar los hilos que usa tu aplicación al ejecutarse y durante la ejecución comprovar y terminar cualquiera que no fuera de los que habias comprovado que pueden estar. Además también podrías tan sólo cargar comprovar en la tabla de importaciones de tu ejecutable y mirarla de vez en cuando para comprovar que no hay nada fuera de lo normal (por si la inyección a sido de este tipo)

Así de primeras es todo lo que se me ocurre. Pensando un poco seguro que hay muchos más modos de hacerlo.

Hendrix · 12 Junio 2006, 20:58 PM

Aprovechando este hilo voy a pedir algo que tiene mas o menos relacion kon eso....

Lo que estoy intyentando hacer yo es el FWB (Firewall Bypass), es decir, introducir mi proceso en un proceso "seguro" para el Firewall y asi que ni se immute.....

Lo que no entiendo es que tengo que ahcer, si tiene que inyectar el kodigo en el .exe "seguro", no??? pero, que kodigo tengo que inyectar??? el que va a hacer la conexión por internet???o komo ago eso???

Salu2 & Thank's...

Eternal Idol · 12 Junio 2006, 21:01 PM

Cita de: _Hendrix_ en 12 Junio 2006, 20:58 PMLo que no entiendo es que tengo que ahcer, si tiene que inyectar el kodigo en el .exe "seguro", no??? pero, que kodigo tengo que inyectar??? el que va a hacer la conexión por internet???o komo hago eso???

Efectivamente lo que tenes que hacer es ejectura lo que quieras dentro de un proceso que el firewall considere como seguro, el explorer.exe por ejemplo, o que al preguntarle al usuario este le de paso.

Hendrix · 12 Junio 2006, 21:11 PM

Bien...leiendo este texto lo entendi....

http://foro.elhacker.net/index.php/topic,90669.0/prev_next,prev.html

Ahora solo me kedan algunas dudas....komo inyecto el kodigo de "escritura" (es decir, en este kaso el kodigo de eskritura seria el Codigo inyectado!!! del texto de slasher). Pues komo inecto esto???

Porke por ejemplo esto:

Shell "mspaint.exe"

No kreo que funcionase...o si????

Help me Please....