Parte IV
Parte V
Esta vez, vamos a utilizar las herramientas Process Explorer y Handle, de Sysinternals, para la correcta búsqueda de Mutants (MUTEX) en el sistema.
Siempre que un objeto se crea o se abre, una referencia hacia éste, es creada. Esta referencia, llamada HANDLE, estará asociada con un proceso, a través de una tabla llamada HANDLE TABLE.
Process Explorer, permite, entre otras características, el poder visualilzar estas entradas a través de su interfaz gráfica. Para ello, tendremos que activar el panel inferior, y que sólo nos muestre la referencia.
Imagen 1.- Mostrar handle en Process Explorer
Una vez que el panel inferior se encuentra activo, es fácil encontrar las referencias a los MUTANT (MUTEX), tal y como se muestra en la siguiente figura:
Imagen 2.- Mutant visualizado con Process Explorer
Si se necesita automatizar el proceso en forma de línea de comandos, la herramienta Handle, de Sysinternals, permitirá extraer todas las referencias, incluyendo las del directorio \BaseNamedObjcts. Para ello, habrá que pasarle el parámetro –a, para que incluya todos los handle. Si se desea que pregunte por el Security Descriptor, incluiremos también el parámetro –u.
Imagen 3.- Mutant descubierto a través de Handle
En el próximo post, realizaremos esta tarea, utilizando para ello volatility framework, en un análisis offline.
Saludetes!
[...] la caza del Mutante. Parte I A la caza del mutante, parte III Blog de WordPress.com. | Theme: Greyzed by The Forge Web Creations. /* */ var [...]