Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Entrenamiento en protección
contra programas maliciosos
Clase 3
Juan Miguel Alonso Torres
juan.miguel@segurmatica.cu
Director de Desarrollo
Segurmática
Agenda
• Keyloggers
• Botnet
Técnicas de inyección
Inyección de DLL
Inyección directa de código
DLL Hijacking, orden de búsqueda.
Inyección de DLL
Un proceso en memoria es forzado a cargar una DLL maliciosa
Inyección de DLL
Llamados a la API mas comunes:
• CreateToolhelp32Snapshot, Process32First, Process32Next
• OpenProcess
• VirtualAllocEx
• WriteProcessMemory
• GetModuleHandle
• GetProcAddress
• CreateRemoteThread
Llamadas a la API para inyección de DLL
Inyección directa de código
• A través de llamas a la API se inserta código en el espacio de memoria
de un proceso remoto.
• Técnica usada para insertar código compilado, y mas frecuentemente
shellcode
• Requiere habilidades en lenguaje ensamblador.
• VirtualAllocEx, WriteProcessMemory, and CreateRemoteThread
Shellcode
Conjunto de ordenes programadas generalmente en lenguaje
ensamblador y trasladadas a opcodes (conjunto de valores
hexagesimales) que son inyectados en la pila de ejecución de un
programa.
Ejemplo:
char shellcode=“\x31\xc0\x50\x2f\x2f\x73\….”
int main()
{
void (*fp)();
fp= (void*) &shellcode;
fp();
}
Lab: Describir método infección de Parite
1. Iniciar RegShot en VictimaXP
2. Clic 1rs shot
3. Correr Parite/malware.exe
4. Clic 2nd shot
5. Botón comparar
• Correr onlinegames/2/malware.exe