Programmazione Process Hollowing

Ordina per data Ordina commenti per reazioni
M

monnezzza

Utente Silver
11 Marzo 2021
119
23
53
86
La tecnica di process hollowing, anche conosciuta come runPE, è una tecnica di slealtà informatica che viene utilizzata per nascondere un payload malevolo all'interno di un processo legittimo in esecuzione su un sistema operativo Windows.

Questa tecnica sfrutta il meccanismo di creazione di nuovi processi in Windows, consentendo al malware di prendere il controllo di un processo legittimo senza essere rilevato dalle soluzioni di sicurezza. In sostanza, anziché creare un proprio processo, il malware sostituisce il codice eseguibile di un processo legittimo con il proprio codice malevolo.

Per eseguire questa tecnica, il malware sfrutta una serie di chiamate al sistema operativo:

  1. CreateProcess: viene utilizzata per creare un nuovo processo legittimo che sarà l'obiettivo del malware.
  2. Sospendi il processo appena creato utilizzando la funzione SuspendThread per poter eliminare il suo contenuto.
  3. VirtualAllocEx: viene utilizzata per allocare uno spazio di memoria all'interno del processo creato.
  4. WriteProcessMemory: consente al malware di scrivere il proprio codice all'interno della memoria del processo legittimo.
  5. SetThreadContext: imposta il contesto del thread con un nuovo valore dell'Instruction Pointer (IP) per eseguire il codice malevolo.
  6. Riprendi l'esecuzione del processo utilizzando la funzione ResumeThread.
Una volta che il malware ha sostituito con successo il codice eseguibile del processo legittimo con il proprio, potrà eseguire tutte le azioni dannose che è stato progettato per compiere, come ad esempio scaricare e installare malware aggiuntivo, raccogliere informazioni sensibili o danneggiare il sistema.

La tecnica di process hollowing/runPE è particolarmente pericolosa in quanto può bypassare molti meccanismi di sicurezza che potrebbero altrimenti rilevare e bloccare l'attività malevola. Pertanto, è importante per gli utenti e gli amministratori di sistema monitorare attentamente i processi in esecuzione sul proprio sistema e utilizzare soluzioni di sicurezza aggiornate per rilevare e prevenire questo tipo di attacco.
 
emulator41 ha detto:
è una tecnica di slealtà informatica
Clicca per espandere...

Stavolta cosa si è fumato ChatGPT?

Il prompt era "cos'è il process hollowing"? Dovrebbe essere una guida questa?

L'AI può essere uno strumento utile ma questo thread così non ha alcun valore, un minimo di intervento da parte tua sarebbe stato più interessante, magari avresti potuto far generare codice di esempio in C, provarlo, vedere che non funziona, sistemarlo e postarlo qui spiegandolo a parole tue.
 
Potrebbe essere WormGPT, ChatGPT neanche risponde ai quesiti di sicurezza informatica per paura che violi la legge. In ogni caso WormGPT è anche peggio, da quello che vedo sembra essere basato su una versione vecchia di ChatGPT che aveva ancora molti difetti, restituiva risposte incomplete/poco dettagliate e rispondeva tranquillamente alle query di hacking
 

DISCUSSIONI SIMILI

H
Difesa Cos'è l'Ingegneria Sociale? E perché è l'anello più debole della sicurezza informatica?
  • 2
  • 1K
2
1K
Manuali di Hacking e IT-Security
hck2009
T
Guida Reti Cos'è un attacco DNS cache poisoning o DNS spoofing
  • In evidenza
  • 3
  • 2K
3
2K
Manuali di Hacking e IT-Security
TheWorm91
H
Discussione Ufficiale Debian Ubuntu Processi *nix like: cosa sono, e come funzionano.
  • 0
  • 127
0
127
Linux, Unix e altri OS
haxo
N
Discussione Gli EXITFUNC, cosa sono, cosa fanno, come vanno usati in Metasploit
  • 0
  • 379
0
379
Pentesting e Ethical Hacking
Netcat
N
Discussione Kinsing malware - Stato della ricerca, stato della caccia all'uomo (è in Svezia?) e guida alla rimozione (CVE-2023-32315)
  • Chiuso
  • 0
  • 375
0
375
Sicurezza Informatica
Netcat
Top Bottom
Indietro