Sobre inyecciones en EXE's y DLL

Iniciado por Martinss, 30 Mayo 2006, 04:32 AM

0 Miembros y 1 Visitante están viendo este tema.

Martinss

Hola, queria saber si es posible evitar las inyecciones de archivos DLL y EXE en tal proceso, recorri el foro en busca de informacion pero no se habla mucho de como bloquear las inyecciones en Visual Basic.

Yo ya he probado de varias formas pero siempre logran inyectar cosas raras en mi programa  :-\

asi que nose, busco opiniones o ideas para poder evitarlas.  ;)

Saludos desde tucuman.

sch3m4

a no ser que enganches las apis que se usan... no veo otra forma
SafetyBits

"Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.(..

Hendrix

Sips....creo que si no hookeas las apis que usan para inyectarse creo que no lo vas a poder parar... :-\ :-\ :-\

Salu2

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

byebye

si puedes pararlo, depura tu propio proceso. te haces un "lanzador" que depure el ejecutable y no podran injectarle.

Martinss

Cita de: Cara_Webo en 30 Mayo 2006, 15:39 PM
si puedes pararlo, depura tu propio proceso. te haces un "lanzador" que depure el ejecutable y no podran injectarle.

Me puedes explicar como es eso?  :-\

byebye

pues digamos que creas un pequeño programa que aparentemente no tenga nada que ver con el original, este creara el proceso de tu programa "original" y depsues con DebugActiveProcess lo depura. al estar en depuracion cuando quieran acceder a el les dira acceso denegado. de todos modos t lo pueden injectar en el que carga el programa.

LuckyMonkey

Si se ha inyectado cómo dll otra opción és desde tu programa comprobar que sólo estén cargadas las librerias que utiliza tu programa en caso de encontrar alguna que no es logico que esté, pues la descargas. Otra opción lógicamente con más estilo seria adelantarte y hookear createremotethread i comprobar que no lo estén haciendo a tu programa, pero lógicamente esto con vb mal, muy mal lo veo. Otra opción sería mirar los hilos que usa tu aplicación al ejecutarse y durante la ejecución comprovar y terminar cualquiera que no fuera de los que habias comprovado que pueden estar. Además también podrías tan sólo cargar comprovar en la tabla de importaciones de tu ejecutable y mirarla de vez en cuando para comprovar que no hay nada fuera de lo normal (por si la inyección a sido de este tipo)

Así de primeras es todo lo que se me ocurre. Pensando un poco seguro que hay muchos más modos de hacerlo.
Mira!! detrás de ti!! un mono de tres cabezas!!

Hendrix

Aprovechando este hilo voy a pedir algo que tiene mas o menos relacion kon eso....

Lo que estoy intyentando hacer yo es el FWB (Firewall Bypass), es decir, introducir mi proceso en un proceso "seguro" para el Firewall y asi que ni se immute.....

Lo que no entiendo es que tengo que ahcer, si tiene que inyectar el kodigo en el .exe "seguro", no??? pero, que kodigo tengo que inyectar??? el que va a hacer la conexión por internet???o komo ago eso???

Salu2 & Thank's... ;) ;)

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

Eternal Idol

Cita de: _Hendrix_ en 12 Junio 2006, 20:58 PMLo que no entiendo es que tengo que ahcer, si tiene que inyectar el kodigo en el .exe "seguro", no??? pero, que kodigo tengo que inyectar??? el que va a hacer la conexión por internet???o komo hago eso???

Efectivamente lo que tenes que hacer es ejectura lo que quieras dentro de un proceso que el firewall considere como seguro, el explorer.exe por ejemplo, o que al preguntarle al usuario este le de paso.
La economía nunca ha sido libre: o la controla el Estado en beneficio del Pueblo o lo hacen los grandes consorcios en perjuicio de éste.
Juan Domingo Perón

Hendrix

Bien...leiendo este texto lo entendi....

http://foro.elhacker.net/index.php/topic,90669.0/prev_next,prev.html

Ahora solo me kedan algunas dudas....komo inyecto el kodigo de "escritura" (es decir, en este kaso el kodigo de eskritura seria el Codigo inyectado!!! del texto de slasher). Pues komo inecto esto???

Porke por ejemplo esto:

Shell "mspaint.exe"

No kreo que funcionase...o si????

Help me Please.... ;) ;)

"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián