PILLOLE DI #MALWAREANALYSIS
La manipolazione dei processi
Una delle azioni tipiche di un #malware è la manipolazione dei processi ovvero la capacità di identificare un processo target per eseguirne una modifica.
Ma come si fa ad identificare un processo target?
La prima cosa che deve fare è vedere quali sono i processi attivi e per fare questo in ambiente Windows viene utilizzata la primitiva #CreateToolHelp32Snapshot. Questa restituisce una struttura contenente l’elenco di tutti i processi attivi nel sistema.
Consideriamo che il nome di questa struttura sia hProcessSnap.
hProcessSnap viene poi passato alla coppia di primitive #Process32First e #Process32Next che permettono di ciclare tra l’elenco dei processi in hProcessSnap.
Una volta identificato il processo, si esegue la manipolazione utilizzando la struttura #PROCESSENTRY32 restituita dalla coppia di primitive precedenti.

Tweet