IAT Domande di aggancio?

1

Ho ricercato l'aggancio di IAT da parte di malware e ho ancora alcune domande:

  1. Se l'IAT del programma in memoria è diverso dallo IAT del programma statico (prima che sia stato eseguito) ciò implica un hook api?

  2. Come vengono rilevati ho letto la domanda qui: Quali sono i metodi per trovare funzioni e API agganciate? ma sono ancora confuso potresti fornire una spiegazione passo passo di base?

  3. Esistono usi legittimi per l'hook delle API diversi dagli antivirus che potrebbero portare a falsi positivi in uno strumento di rilevamento?

posta Nat 03.08.2017 - 11:49
fonte

1 risposta

1

Rilevare un rootkit è per sua natura difficile, questo perché i rootkit usano spesso metodi per eludere il rilevamento. Un rootkit ben scritto dovrebbe essere irrilevabile. Tuttavia, i rootkit mal codificati possono lasciare tracce della loro attività nel sistema (non riescono a cancellare i log, ecc.)

  • Librerie di collegamento dinamico non firmate caricate in processi (tutti)
  • checksum del codice casuale
  • Metodi di rilevamento del malware generico

Vedi anche: link

    
risposta data 03.08.2017 - 19:08
fonte

Leggi altre domande sui tag