Malware
  • La Biblia del Desarrollo de Malware para Windows
  • Introducción al Malware
    • ¿Qué es el Malware?
    • La Historia del Malware
    • Clasificación del Malware
    • Métodos de Distribución del Malware
  • Los Malwares Más Impactantes de la Historia
    • Stuxnet: El Malware que Destruyó una Planta Nuclear
    • Pegasus: El Malware Espía de Nivel Estatal
  • Introducción al Desarrollo de Malware
    • Herramientas y Lenguajes Más Comunes en el Desarrollo de Malware
    • Lenguajes Recomendados para el Desarrollo de Malware
    • Binarios Famosos de Windows y sus Lenguajes de Desarrollo
    • Fundamentos de compilacion
    • Nuestro primer "Malware"
    • Malware: Del Disco a la Memoria
  • APIs de Windows
    • Windows Internals
    • Windows on Windows (WOW)
    • Bibliotecas DLL en la Tecnología WOW64
    • Win32 APIs: El Corazón del Desarrollo de Software en Windows
      • Componentes Clave de las Win32 APIs
      • Cómo Funcionan las Win32 APIs y su relacion con el Malware
      • Uso de Win32 con C#
    • Kernel32.dll: La Biblioteca Fundamental en el Sistema Operativo Windows
      • VirtualAlloc en C#: Asignación y Gestión de Memoria
      • RtlMoveMemory: Copia de Memoria en Windows
      • CreateThread en C#: Creación y Manejo de Hilos
    • AllocationType y MemoryProtection
    • Windows Registry
  • Shell Reverse
    • Fundamentos de reverse shell
    • Desarrollando Nuestro Primer Simple Reverse Shell via TCP
      • C#
      • PowerShell
      • Python
Powered by GitBook
On this page
  • AllocationType: Tipos de Asignación de Memoria
  • MemoryProtection: Protección de la Memoria Asignada
  • Interacción entre AllocationType y MemoryProtection
  1. APIs de Windows

AllocationType y MemoryProtection

En los sistemas operativos, la gestión de memoria es uno de los aspectos más críticos para garantizar un funcionamiento eficiente y seguro. Dos conceptos clave en esta gestión son AllocationType y MemoryProtection. Estos conceptos definen cómo se asigna y se protege la memoria dentro de un proceso, y son esenciales para asegurar tanto el rendimiento como la seguridad del sistema.

AllocationType: Tipos de Asignación de Memoria

AllocationType se refiere al tipo de asignación de memoria que se realiza cuando un proceso solicita memoria al sistema operativo. Indica cómo se gestionará la memoria solicitada, ya sea reservándola para uso futuro, comprometiéndola para su uso inmediato o restableciendo su estado. Algunos valores comunes de AllocationType son:

  1. MEM_COMMIT:

    • Descripción: Este tipo de asignación reserva memoria en el espacio de direcciones virtuales del proceso y asigna memoria física para almacenar los datos. Cuando se utiliza MEM_COMMIT, la memoria está completamente preparada para ser utilizada por el proceso.

    • Caso de Uso: Es utilizado cuando el proceso necesita leer o escribir datos en la memoria inmediatamente, ya que asigna tanto espacio virtual como físico.

  2. MEM_RESERVE:

    • Descripción: Reserva un rango de direcciones virtuales en el espacio de direcciones del proceso, pero no asigna memoria física de inmediato. La memoria física se asigna solo cuando el proceso accede a esas direcciones.

    • Caso de Uso: Es útil cuando se sabe que se necesitará un gran bloque de memoria en el futuro, pero no se necesita utilizarlo de inmediato. Esto optimiza el uso de la memoria física al asignarla solo cuando es necesario.

  3. MEM_RESET:

    • Descripción: Esta asignación restablece la memoria reservada a su estado inicial, es decir, vacía, pero no libera la memoria física reservada.

    • Caso de Uso: Se utiliza cuando el proceso necesita reutilizar la memoria pero sin liberar y reasignar completamente la memoria física.

  4. MEM_TOP_DOWN:

    • Descripción: Indica al sistema operativo que debe asignar la memoria comenzando desde la dirección más alta posible en el espacio de direcciones virtuales del proceso.

    • Caso de Uso: Es útil cuando el sistema o el proceso prefieren gestionar la memoria comenzando desde la parte superior del espacio de direcciones, generalmente para evitar conflictos con las asignaciones de memoria inferiores.

MemoryProtection: Protección de la Memoria Asignada

MemoryProtection se refiere a los permisos de acceso que se pueden establecer para una región de memoria específica. Estos permisos determinan qué operaciones puede realizar un proceso en esa región: lectura, escritura o ejecución. Las protecciones de memoria son cruciales para garantizar la seguridad del sistema y evitar accesos no autorizados a ciertas áreas de memoria. Algunos de los valores más comunes de MemoryProtection son:

  1. PAGE_EXECUTE:

    • Descripción: Permite la ejecución de código en la región de memoria especificada. Esto es útil para ejecutar código almacenado en memoria, como en el caso de la ejecución de shellcodes o programas en memoria.

    • Caso de Uso: Se utiliza cuando se necesita ejecutar código desde una ubicación en memoria, como en el caso de malware o sistemas de ejecución dinámica de código.

  2. PAGE_READWRITE:

    • Descripción: Permite tanto la lectura como la escritura en la región de memoria. Es el permiso estándar para las regiones de memoria en las que se almacenan datos que pueden ser modificados.

    • Caso de Uso: Se utiliza cuando el proceso necesita modificar datos en memoria, como en el caso de buffers o estructuras de datos que el programa manipula durante su ejecución.

  3. PAGE_READONLY:

    • Descripción: Permite solo la lectura de los datos en la región de memoria. No se pueden realizar operaciones de escritura en esa región.

    • Caso de Uso: Es útil para proteger regiones de memoria que contienen datos constantes o información que no debe ser modificada durante la ejecución, como código compilado o archivos de solo lectura.

  4. PAGE_NOACCESS:

    • Descripción: No permite ningún tipo de acceso a la región de memoria. El acceso a esta memoria será completamente bloqueado, lo que protege la memoria de accesos no autorizados o accidentales.

    • Caso de Uso: Es útil para proteger áreas de memoria que no deberían ser accesibles, como cuando se desea evitar que un proceso lea o escriba en áreas que están fuera de su alcance.

Interacción entre AllocationType y MemoryProtection

La combinación de AllocationType y MemoryProtection es clave para gestionar la memoria de manera eficiente y segura en un sistema operativo. Mientras que AllocationType determina cómo se reserva y gestiona la memoria, MemoryProtection especifica los permisos y restricciones sobre esa memoria.

Por ejemplo, si un programa necesita ejecutar código desde la memoria, puede utilizar MEM_COMMIT para asignar la memoria y PAGE_EXECUTE para permitir que esa memoria sea ejecutable. De manera similar, si un proceso necesita almacenar datos y modificarlos, puede utilizar MEM_COMMIT con PAGE_READWRITE.

PreviousCreateThread en C#: Creación y Manejo de HilosNextWindows Registry

Last updated 5 months ago