楼主: B100D1E55
收起左侧

[讨论] Process Doppelgänging绕过大量杀软

  [复制链接]
kxmp
发表于 2017-12-8 14:29:27 | 显示全部楼层
本帖最后由 kxmp 于 2017-12-8 14:41 编辑

这个不是ntfs漏洞么

这不是普通注入
他是利用修改文件特性 让这个文件经过修改
但是还没有将这个 修改 写入硬盘

通过特殊的方式 载入这个已修改的文件.

但是原始文件还在硬盘上面....

特殊的方式 就是进程载入机制. 而且是内部才懂的.

光有这个还不行 还要有ntfs那个漏洞.

2017-12-08 14:40:12
这看起来不是ntfs漏洞
是一个特性 在更新文件的时候 这个文件会被锁.
如果你 不 锁 文件 他被别人修改了怎么办? 更新之前其他程序把文件删了怎么办?

就是这个 锁 文件 搞得安软都没法扫.

在这个时候 做个什么修改 但是他不提交 这方法也是绝了
kxmp
发表于 2017-12-8 14:31:12 | 显示全部楼层
驭龙 发表于 2017-12-8 14:23
难道EKRN不是ESET的内核进程?哈哈

不是啊.
他是应用层的他只是有权限和内核交互.


驭龙
发表于 2017-12-8 14:38:17 | 显示全部楼层
kxmp 发表于 2017-12-8 14:31
不是啊.
他是应用层的他只是有权限和内核交互.

通常情况下EKRN就是ESET的内核进程,因为它包含引擎核心与系统内核交互,严格意义上并不是你说的内核
wangkaka
发表于 2017-12-8 15:07:52 | 显示全部楼层
B100D1E55 发表于 2017-12-8 13:43
哦你说那个ver154的更新?我估计是不行的,因为这个本身是fileless attack,当然宿主进程的file ops应该 ...

ams就我测试最大问题是内存中的毒,很多查得出杀不掉。至于注入缓存的内存页不需担心。。似乎eset的内存扫描没有缓存,在同一个内存页再次被调用时会重新扫描。。
神龟Turmi
发表于 2017-12-8 17:00:57 | 显示全部楼层
似乎现在有很多BE反作弊游戏的外{过}{滤}挂 也是这么干的
用来绕过ring0级保护的BE
还有注册为输入法等方法的奇葩注入(最后BE连搜狗都不放过 国产输入法赶尽杀绝)
KK院长
发表于 2017-12-8 18:24:33 | 显示全部楼层
无文件攻击
“攻击的目的是让恶意软件在正常软件的进程中执行任意代码。
   我还是躲到火星吧,以后各种攻击都会有。
tihs
发表于 2017-12-8 19:50:12 | 显示全部楼层
比特币彻底上天了~~上万美元~~不要有新的勒索+强力漏洞出来啊
45her
头像被屏蔽
发表于 2017-12-8 20:04:45 | 显示全部楼层
做为吃瓜群众,只能看大佬在那讨论,而自己一脸懵逼。。
刻舟求剑
发表于 2017-12-8 20:39:45 | 显示全部楼层
这个漏洞报给安全厂商了吗
B100D1E55
 楼主| 发表于 2017-12-9 00:00:02 | 显示全部楼层
wangkaka 发表于 2017-12-8 15:07
ams就我测试最大问题是内存中的毒,很多查得出杀不掉。至于注入缓存的内存页不需担心。。似乎eset ...

有缓存的,但是不知道缓存机制是什么。没缓存的话性能影响就很恐怖了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:27 , Processed in 0.090206 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表