miércoles, noviembre 04, 2009
Albert López
Buenas, este artículo hablaré de otra forma de infección de ejecutables, hace unos días hice una explicación de concepto sobre infección de ejecutables mediante la copia de código vírico al huésped, pueden repasar el artículo en éste enlace.
Hoy hablaremos de otro tipo de infección, ésta se conoce como relleno de huecos de memoria o "padding". Ántes de hacer una explicación de en que consiste, pasarémos a hacer una rápida explicación de como se almacénan los segmentos de memória en un archivo, si entienden éste concepto verán rápidamente en que consiste el "padding".
Un archivo dispone de segmentos de memoria que se guardan en conjuntos de 4 Kb generalmente, cuando los datos que se disponen en uno de éstos segmentos, no ocupan un múltiplo de 4, se hace un relleno de ceros hasta conseguir el múltiplo y pasar al siguiente segmento. En éste caso este relleno de ceros simplemente es para marcar hasta donde llegará el segmento, hablándo de funcionalidad no tendrá ni una ya que solo sirve de relleno.
A partír de aquí ya podéis imaginaros en que consiste la técnica, trata de rellenar éstos espacios libres con código, con la posibilidad de copiar todo el virus en uno de éstos segmentos. Cabe destacar una de las ventájas principales de ésta técnica a diferencia de la técnica de días anteriores donde el virus se copiava al ejecutable y se separava mediante un identificador o mutex.
La ventaja principal es que en éste caso la longitud del fichero en bytes no varía, ya que lo único que se ha hecho es substituir "espacios" de memoria rellenados con 0. Ésta técnica suele ser más compleja de realizar que otras, pero almenos el ejecutable infectado pasará desapercibido por su tamaño en disco que no variará.
Posted in: Técnicas de Malware
0 comentarios:
Publicar un comentario