Parte IV
Parte V
La forma más sencilla de buscar mutantes (MUTEX) en nuestro sistema y en tiempo real, es utilizando las herramientas de SysInternals. Para ello, la primera herramienta que utilizaremos será WinOBJ, la cual nos permitirá visualizar, de forma jerárquica, el manejador de objetos (Object Manager) de Windows. Cada recurso de Windows, se encontrará catalogado en un espacio de nombres. Un recurso puede ser la memoria RAM, una entrada de registro o un directorio, por ejemplo.
Cada objeto administrado por el Object Manager tendrá una estructura determinada. Bajo esta estructura, se encontrará un nombre que identifique al objeto en sí (Object Name) y un Security Descriptor, el cual aportará información sobre los derechos de acceso del objeto.
Los MUTANT (MUTEX), entre otros objetos, se encuentran catalogados en el directorio (Object Directory) \BaseNamedObjects. Dentro de este directorio, podremos realizar consultas gráficas para encontrar fácilmente Mutex maliciosos.
Imagen 1.- Acceso a objetos MUTANT a través de WinObj
A través de esta utilidad, se pueden realizar consultas al Security Descriptor, para conocer qué derechos de acceso y dueño, tiene este objeto.
Imagen 2.- Permisos de Objeto MUTANT
En la próxima entrega nos centraremos en la búsqueda de estos objetos a través de otras herramientas de Sysinternals como Process Explorer o bajo línea de comandos con Handle.
Referencias
Object Manager (PDF)
Object Manager (PPT)
Object Manager (Wikipedia)
[...] A la caza del Mutante. Parte II Blog de WordPress.com. | Theme: Greyzed by The Forge Web Creations. /* */ var [...]
Quiero comprar tu libro de analisis forense digital, soy de lima Perú, espero su pronta respuesta gracias y cuando lanzas la tercera parte esta muy interesante brother.
como puedo y donde lo compro
Qué máquina, como siempre unos post más que interesantes!!!!, esperando las siguientes partes y ese libro de análisis forense en dispositivos móviles , para mi suite de seguridad =)
Saludos desde el sur Juanito
[...] Parte II [...]