灵井新闻>教育>托克拉克·绕过杀软的新姿势:Process Doppelgänging

托克拉克·绕过杀软的新姿势:Process Doppelgänging

发布时间:2020-01-11 16:38:47

托克拉克·绕过杀软的新姿势:Process Doppelgänging

托克拉克,process doppelgänging与process hollowing技术类似,不同之处在于前者通过攻击windows ntfs 运作机制和一个来自windows进程载入器中的过时的应用。

process hollowing是现代恶意软件常用的一种进程创建技术,虽然使用任务管理器之类的工具查看时,这些进程看起来合法,但该进程的代码实际上已被恶意内容替代。

研究人员表示,利用“process doppelgänging”的恶意代码不会保存到磁盘(也就是所谓的无文件攻击),因此大多数主流安全产品无法检测到。

安全产品检测不到其中的异常,是因为恶意进程看起来合法,会正确映射到磁盘上的镜像文件,与任何合法进程没有区别,不存在安全产品通常会寻找的“未映射的代码”( unmapped code)。

值得庆幸的是,实现“process doppelgänging”面临着大量技术挑战,攻击者需要了解进程创建的大量未公开细节。

然而,令人悲观的是,这种攻击无法通过打补丁修复解决,因为它利用的是基本功能和windows进程加载机制的核心设计。

“process doppelgänging“加入了过去一年被发现的新攻击方法,这些方法难以被现代反病毒产品检测和缓解,例如atom bombing和ghosthook。有关该技术的研究资料将会在接下来几天发布在2017欧洲黑帽大会的官网上。

e安全注:本文系e安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。

manbetx体育官网下载

相关新闻

阅读排行

© Copyright 2018-2019 blackbox4x.com 灵井新闻 Inc. All Rights Reserved.