Parte IV
Parte V
Un mutante, es como Windows llama de forma común a un Mutex. Un mutex ayuda a la hora de acceder a los recursos del sistema, o como mecanismo que ayude a que sólo una instancia de la aplicación se encuentre corriendo en el sistema.
Las aplicaciones pueden crear mutantes con un nombre específico o con un nombre en particular. Si una segunda instancia de la aplicación es ejecutada en el sistema, ésta intentará crear un mutex sin éxito, lo cual obligaría a la aplicación a terminar.
A menudo este tipo de técnicas son utilizadas por malware de diverso tipo para prevenir múltiples infecciones de una misma cepa. Y a menudo también nos podemos encontrar con aplicaciones que crean Mutex con la finalidad de proteger al sistema operativo. Entre los diferentes mecanismos de protección que puedan ofrecer, uno de ellos es la creación de Mutex a priori utilizados por Malware. Con esto intentan prevenir que algún tipo de virus pueda ejecutarse bajo esta técnica.
Utilizar la búsqueda de Mutex maliciosos como única técnica de detección de Malware es algo muy pobre, debido a que es muy fácil modificar este parámetro. Una prueba de ello lo tenemos en el configurador del archiconocido Poison Ivy.
Imagen 1.- Nombre de Mutex generado automáticamente por Poison Ivy
Es por ello que, unido a mi morbosa curiosidad, y dado el incremento de este tipo de técnicas en la programación de Malware, que dedicaremos 5 entradas sobre las técnicas y herramientas existentes para buscar con éxito mutantes (MUTEX) creados por aplicaciones. Para ello, iremos realizando las operaciones desde lo más fácil, a lo más difícil, siempre desde mi punto de vista. La búsqueda de Mutex las realizaremos desde el punto de vista de:
- Herramientas de Sysinternals (Análisis en Vivo)
- Volatility Framework (Análisis Offline)
- WinDBG (Debugging Tools de Windows) (Análisis Offline)
Nos vemos en la segunda parte!!
Esto si que es dejar con tension y no la mierda de los finales de los capitulos de Lost… Publicalos ya!!!
jajaja
Pedrooooooooo qué te quiero cohóne!!
5 Entradas que espero con ganas probar =)
Ehy esperamos con ganas la entrada!!
Saludos
El hijo prodigo vuelve a casa por Navidad!!! 🙂
Encantado de releerte
#Oscar
Pronto estará la segunda entrada! Gracias!!
#Claudio
Y yo encantado de tenerte por aquí!!
#neofito
Ya tocaba escribir algo, que estaba flojete jaja!! Salu2!!