Ao analisar, por meio de engenharia reversa, um código malic...

A alternativa correta é: A - injeção DLL.

Vamos entender melhor essa questão e por que essa é a resposta correta.

O enunciado menciona que, durante a análise de um código malicioso em um ambiente Windows, um perito identificou o uso das chamadas SetWindowsHookEx e CreateRemoteThread. Essas funções são frequentemente utilizadas em técnicas de injeção DLL (Dynamic-Link Library). A injeção DLL é uma técnica em que um código malicioso é inserido em um processo em execução, alterando seu fluxo de execução de forma não autorizada.

Vamos detalhar o funcionamento dessas chamadas:

• SetWindowsHookEx: Permite que uma função seja inserida em uma cadeia de eventos do sistema, o que pode ser usado para monitorar e interceptar mensagens e eventos, como pressionamentos de teclas ou cliques do mouse.
• CreateRemoteThread: Cria um novo thread em um processo alvo, que pode ser usado para executar código arbitrário, como carregar uma DLL maliciosa nesse processo.

Agora, vamos analisar por que as outras alternativas estão incorretas:

B - ataque cross site scripting (XSS)

O Cross Site Scripting (XSS) é um tipo de vulnerabilidade de segurança web, não relacionado diretamente ao uso de funções específicas do Windows como SetWindowsHookEx e CreateRemoteThread. Ele envolve a injeção de scripts maliciosos em páginas web visualizadas por outros usuários.

C - sniffing de rede

Sniffing de rede refere-se ao ato de interceptar e capturar pacotes de dados que trafegam em uma rede. Essa técnica está relacionada a ferramentas que monitoram o tráfego de rede, não a funções de manipulação de processos no Windows.

D - injeção SQL

A injeção SQL é uma vulnerabilidade de segurança web que permite a execução de comandos SQL maliciosos através da entrada de dados em uma aplicação. Assim como o XSS, não está relacionada ao uso de funções específicas do Windows para manipulação de processos.

E - ataque cross site request forgery (CSRF)

O ataque CSRF (Cross Site Request Forgery) visa enganar um usuário para que ele execute ações indesejadas em uma aplicação web na qual está autenticado. Novamente, esta é uma técnica de exploração de vulnerabilidades web e não envolve funções do Windows.

Portanto, ao considerar o uso das funções SetWindowsHookEx e CreateRemoteThread, a alternativa correta é realmente a A - injeção DLL.

https://periciacomputacional.com/dez-tecnicas-de-injecao-de-processo-process-injection/

o único ataque possível em ambiente windows (sistema operacional) seria "injeção DLL" os demais tratam-se de ataques em ambiente aplicação/web ou banco de dados.

CERTO. A conclusão do perito está correta, pois as chamadas de API mencionadas, SetWindowsHookEx e CreateRemoteThread, são comumente usadas para a realização de injeção de DLL em processos de outros programas. Vamos entender como cada uma dessas chamadas de API funciona e por que elas indicam injeção de DLL:

1. SetWindowsHookEx: Esta função é usada para instalar um gancho no Windows, permitindo que o software intercepte e modifique mensagens ou eventos do sistema operacional antes que eles atinjam uma aplicação. Essa função pode ser usada para carregar uma DLL maliciosa em outros processos, especialmente se o gancho estiver configurado para ser um gancho global, o que afeta todos os processos no mesmo ambiente do usuário.
2. CreateRemoteThread: Esta função permite criar um novo thread em um processo diferente. É comum usá-la para injeção de DLL, pois permite executar código diretamente em outro processo. O código executado frequentemente carrega uma DLL maliciosa usando técnicas como a chamada à função LoadLibrary.

Essas técnicas, quando combinadas, são indicativos claros de que o malware está tentando realizar injeção de DLL. A injeção de DLL é um método usado por malwares para se inserirem em processos legítimos, permitindo que o código malicioso seja executado no contexto de um processo que pode ter privilégios elevados, acesso a conexões de rede ou outros recursos sensíveis, o que efetivamente esconde o malware de ferramentas de segurança e monitoramento.

CHATGPT