如何繞過現代Process Hollowing檢測機制
https://4hou.win/wordpress/?p=10986
Process Hollowing是現代惡意軟體常用的一種進程創建技術。一般來說,使用Process Hollowing技術所創建出來的進程在使用工作管理員之類的工具進行查看時,它們看起來是正常的,但是這種進程中包含的所碼實際上就是惡意程式碼。
這種技術可以對運行中的進程進行動態修改,並且整個過程既不用掛起進程,也不需要調用額外的Windows API,即無需調用WriteProcessMemory, QueueUserApc, CreateRemoteThread和SetThreadContext。
目前,絕大多數Process Hollowing技術的工作機制如下:掛起進程,寫入遠端記憶體,修改內容(SetThreadContext/CreateRemoteThread/QueueUserAPC),然後恢復進程運行。RISCyPacker技術對之前的ProcessHollowing技術進行了優化,它只需要修改記憶體內容(NtUnMapViewOfSection/NtMapViewOfSection)即可實現ProcessHollowing。
1.使用高優先順序創建本地執行緒
2.將遠端進程的執行緒優先順序設為低優先順序
3.RISCyPacker的Process Hollowing技術流程圖(http://image.3001.net/images/20171118/15109881488213.png!small)
#Process Hollowing, 攻擊, 方式, 流程
https://4hou.win/wordpress/?p=10986
Process Hollowing是現代惡意軟體常用的一種進程創建技術。一般來說,使用Process Hollowing技術所創建出來的進程在使用工作管理員之類的工具進行查看時,它們看起來是正常的,但是這種進程中包含的所碼實際上就是惡意程式碼。
這種技術可以對運行中的進程進行動態修改,並且整個過程既不用掛起進程,也不需要調用額外的Windows API,即無需調用WriteProcessMemory, QueueUserApc, CreateRemoteThread和SetThreadContext。
目前,絕大多數Process Hollowing技術的工作機制如下:掛起進程,寫入遠端記憶體,修改內容(SetThreadContext/CreateRemoteThread/QueueUserAPC),然後恢復進程運行。RISCyPacker技術對之前的ProcessHollowing技術進行了優化,它只需要修改記憶體內容(NtUnMapViewOfSection/NtMapViewOfSection)即可實現ProcessHollowing。
1.使用高優先順序創建本地執行緒
2.將遠端進程的執行緒優先順序設為低優先順序
3.RISCyPacker的Process Hollowing技術流程圖(http://image.3001.net/images/20171118/15109881488213.png!small)
#Process Hollowing, 攻擊, 方式, 流程
留言
張貼留言