Загрузка...

[BASIC] - DETECTAR DLL CON Y SIN RENAME DE EXTESIÓN -- BY MA

DETECTAR DLLS EN INSTANCIA

1. Abrir System Infomer

2. Dumpear CSRSS Mayor Bytes
Regex : ^(?:\\\\\?\\)?[A-Za-z]:\\.+$

3. Extraer path

4. Ejecutar pathparser en la misma carpeta que está el paths.txt y buscar yara rule sA2

5. Ejecutar DLL

EN ESTE CASO HEMOS HECHO RANAMING Y CAMBIO DE EXTENSIÓN, BUSCAREMOS LA YARA RULE SA2, Y TRATAREMOS DE EJECUTARLO CON REGSVR32.EXE

EN ESTE CASO AL RENAMEAR LO DETECTARÁ COMO FILE DELETED, AHORA VAMOS A VER COMO ENCONTRARLE SOLUCIÓN A ESTO, TRATAREMOS DE EJECUTARLO
NO EXISTE ???

YA LO TENDRÍAMOS ENCONTRADO

AHORA OS MOSTRARÉ QUE OCURRE SI REALMENTE NO HAY RENAMING NI EL ARCHIVO ES BORRADO, PERO ANTES RECALCAR QUE ESTO SOLO SERVIRÁ EN CASO DE QUE USNJRNL NO HAYA SIDO BORRADO, EN CASO DE SER BORRADO JOURNALTRACE NO MOSTRARÁ RESULTADOS Y TOCARÍA EXTRAER $LOGFILE

Видео [BASIC] - DETECTAR DLL CON Y SIN RENAME DE EXTESIÓN -- BY MA канала MemoryArtifact
Яндекс.Метрика
Все заметки Новая заметка Страницу в заметки
Страницу в закладки Мои закладки
На информационно-развлекательном портале SALDA.WS применяются cookie-файлы. Нажимая кнопку Принять, вы подтверждаете свое согласие на их использование.
О CookiesНапомнить позжеПринять