Hola a tod@s,
Quisiera consultarles, si un malware puede realmente ocultarse del un visor de procesos en ejecución y/o de las conexiones de red establecidas.
Gracias por todo.
Claro que si.. los rootkits tienen implementaciones de ese tipo. Sin ir muy lejos o meterse en lo tecnico..
Algunos rootkits reemplazan llamadas a EnumProcesses() por ejemplo, con direcciones propias implementadas por el rootkit, luego devuelve esas llamadas originales pero previamente pueden quitar cualquier info sobre procesos infectados. Haciendo invisible a los ojos del usuario.
saludos.
You are not allowed to view links.
You are not allowed to view links.
Register or Login or You are not allowed to view links.
Register or Login
Claro que si.. los rootkits tienen implementaciones de ese tipo. Sin ir muy lejos o meterse en lo tecnico..
Algunos rootkits reemplazan llamadas a EnumProcesses() por ejemplo, con direcciones propias implementadas por el rootkit, luego devuelve esas llamadas originales pero previamente pueden quitar cualquier info sobre procesos infectados. Haciendo invisible a los ojos del usuario.
saludos.
¿Eso sería sólo en cuanto a los procesos o conexiones establecidas también?
Con un programa que muestre los archivos abiertos y/o que están leyendo, ¿pueden ser detectados?
La idea sería no usar antirootkit, sino que identificarlo uno mismo, en base de los conocimientos adquiridos.