Mitre ATT这款产品有哪些具体应用场景?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1203个文字,预计阅读时间需要5分钟。
二:
恶意软件使用进程注入的主要目的大致是为了躲避杀软的检测或者进行提权操作。这里我们将主要针对第一种情况下的3种手段进行详细的讨论。
一:经典的进程注入(DLL注入)
这是最为经典的手段,流程也十分简洁明了即:
OpenProcess -> VirtualAllocEx -> WriteProcessMemory -> CreateRemoteThread
二:Process Hollowing
这是一种相当古老的手段了,中文一般译为”创建傀儡进程”,使用该手法创建的进程可以伪装为任意的合法进程,比如伪装为IE,在内存中使用process hacker查看时其图标资源、描述、数字签名均为IE的值。这样应急响应人员在进行排查的时候可能难以发现。
用简洁的语言概括该手法,即恶意进程首先创建一个挂起状态的进程,然后取消其原先的内存映射并替换成事先准备的恶意代码,在对修改后的映像文件进行重定向后再恢复该进程的运行状态。
实现思路:
1、通过CreateProcess创建目标进程,传入参数CREATE_SUSPENDED使进程挂起
2、通过NtQueryProcessInformation获取目标进程内存中映像文件的基地址。
本文共计1203个文字,预计阅读时间需要5分钟。
二:
恶意软件使用进程注入的主要目的大致是为了躲避杀软的检测或者进行提权操作。这里我们将主要针对第一种情况下的3种手段进行详细的讨论。
一:经典的进程注入(DLL注入)
这是最为经典的手段,流程也十分简洁明了即:
OpenProcess -> VirtualAllocEx -> WriteProcessMemory -> CreateRemoteThread
二:Process Hollowing
这是一种相当古老的手段了,中文一般译为”创建傀儡进程”,使用该手法创建的进程可以伪装为任意的合法进程,比如伪装为IE,在内存中使用process hacker查看时其图标资源、描述、数字签名均为IE的值。这样应急响应人员在进行排查的时候可能难以发现。
用简洁的语言概括该手法,即恶意进程首先创建一个挂起状态的进程,然后取消其原先的内存映射并替换成事先准备的恶意代码,在对修改后的映像文件进行重定向后再恢复该进程的运行状态。
实现思路:
1、通过CreateProcess创建目标进程,传入参数CREATE_SUSPENDED使进程挂起
2、通过NtQueryProcessInformation获取目标进程内存中映像文件的基地址。