Ao analisar, por meio de engenharia reversa, um código malic...
A conclusão do perito é que o malvware estava tentando realizar
https://periciacomputacional.com/dez-tecnicas-de-injecao-de-processo-process-injection/
o único ataque possível em ambiente windows (sistema operacional) seria "injeção DLL" os demais tratam-se de ataques em ambiente aplicação/web ou banco de dados.
CERTO. A conclusão do perito está correta, pois as chamadas de API mencionadas, SetWindowsHookEx e CreateRemoteThread, são comumente usadas para a realização de injeção de DLL em processos de outros programas. Vamos entender como cada uma dessas chamadas de API funciona e por que elas indicam injeção de DLL:
- SetWindowsHookEx: Esta função é usada para instalar um gancho no Windows, permitindo que o software intercepte e modifique mensagens ou eventos do sistema operacional antes que eles atinjam uma aplicação. Essa função pode ser usada para carregar uma DLL maliciosa em outros processos, especialmente se o gancho estiver configurado para ser um gancho global, o que afeta todos os processos no mesmo ambiente do usuário.
- CreateRemoteThread: Esta função permite criar um novo thread em um processo diferente. É comum usá-la para injeção de DLL, pois permite executar código diretamente em outro processo. O código executado frequentemente carrega uma DLL maliciosa usando técnicas como a chamada à função LoadLibrary.
Essas técnicas, quando combinadas, são indicativos claros de que o malware está tentando realizar injeção de DLL. A injeção de DLL é um método usado por malwares para se inserirem em processos legítimos, permitindo que o código malicioso seja executado no contexto de um processo que pode ter privilégios elevados, acesso a conexões de rede ou outros recursos sensíveis, o que efetivamente esconde o malware de ferramentas de segurança e monitoramento.
CHATGPT