¿Sabes qué es un process environment block y por qué se utiliza para el desarrollo de malwares? Los programas maliciosos de la actualidad cuentan con un alto nivel de complejidad y elaboración en su desarrollo. Por lo tanto, sus creadores cuentan con técnicas que les sirven para detectar y evadir los sistemas de ciberseguridad. Los malwares son capaces de detectar cuándo están siendo ejecutados en un entorno virtual; además, pueden identificar procesos de debugging o depuración para saber que están siendo analizados.
En este post, te explicaremos qué es un process environment block (PBE) en un malware.
¿Qué es un método antidebugging?
En primer lugar, debemos repasar brevemente qué es un método antidebugging, ya que los PBE entran dentro de esta categoría. El debugging o la depuración de programas se refiere a aquellas funciones informáticas que sirven para detectar y reparar los errores en un software. Por lo tanto, los métodos de antidebugging de los malwares están diseñados para detectar cuándo el programa está siendo depurado o, en otros términos, analizado por alguien.
¿Qué es un process environment block en un malware?
El process environment block (PEB) es una estructura que contiene datos sobre el proceso en ejecución, donde algunos de los campos son estructuras entre sí mismos para contener aún más información. Cada proceso cuenta con su propio PEB y el kernel de Windows también tendrá acceso al PEB de cada proceso en modo de usuario, con el fin de poder realizar un seguimiento de ciertos datos almacenados en él, como:
- Contexto.
- Parámetros.
- Estructura de datos para el cargador de imagen.
- Dirección base para la imagen del programa.
- Objetos sincronizados para la concurrencia del proceso.
El PEB se ha utilizado en el desarrollo de malware, por ejemplo, para inyectar una DLL a otro proceso, con el fin de acceder a él y eliminar el nombre del módulo inyectado para pasar desapercibido.
La estructura PEB tiene un campo llamado BeingDebugged, en donde se muestra si hay algún proceso haciendo un depurado del programa. De este modo, el malware puede detectar si está siendo debuggeado y detener su funcionamiento.
La función de la API de Windows, llamada IsDebuggerPresent (kernelbase), consulta este campo de la estructura PEB. Cabe resaltar, para entender qué es un process environment block, que esta estructura cuenta con dos campos, que también pueden ser consultados por el malware, ya que están diseñados para protegerse de ellos:
- IsProtectedProcess.
- IsProtectedProcessLight (PPL).
¿Cómo aprender más?
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaAhora sabes qué es un process environment block y para qué se utiliza en el desarrollo de malware. Si quieres saber más y aprender sobre hacking ético, análisis de malware, criptografía y mucho más, ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en pocos meses. ¡Inscríbete ahora!
