Process Doppelgänging绕过大量杀软

显示全部楼层 · 发表于 2017-12-8 14:29:27

本帖最后由 kxmp 于 2017-12-8 14:41 编辑

这个不是ntfs漏洞么

这不是普通注入
他是利用修改文件特性让这个文件经过修改
但是还没有将这个修改写入硬盘

通过特殊的方式载入这个已修改的文件.

但是原始文件还在硬盘上面....

特殊的方式就是进程载入机制. 而且是内部才懂的.

光有这个还不行还要有ntfs那个漏洞.

2017-12-08 14:40:12
这看起来不是ntfs漏洞
是一个特性在更新文件的时候这个文件会被锁.
如果你不锁文件他被别人修改了怎么办? 更新之前其他程序把文件删了怎么办?

就是这个锁文件搞得安软都没法扫.

在这个时候做个什么修改但是他不提交这方法也是绝了

显示全部楼层 · 发表于 2017-12-8 14:31:12

驭龙发表于 2017-12-8 14:23
难道EKRN不是ESET的内核进程？哈哈

不是啊.
他是应用层的他只是有权限和内核交互.

显示全部楼层 · 发表于 2017-12-8 14:38:17

kxmp 发表于 2017-12-8 14:31
不是啊.
他是应用层的他只是有权限和内核交互.

通常情况下EKRN就是ESET的内核进程，因为它包含引擎核心与系统内核交互，严格意义上并不是你说的内核

显示全部楼层 · 发表于 2017-12-8 15:07:52

B100D1E55 发表于 2017-12-8 13:43
哦你说那个ver154的更新？我估计是不行的，因为这个本身是fileless attack，当然宿主进程的file ops应该 ...

ams就我测试最大问题是内存中的毒，很多查得出杀不掉。

至于注入缓存的内存页不需担心。。似乎eset的内存扫描没有缓存，在同一个内存页再次被调用时会重新扫描。。

显示全部楼层 · 发表于 2017-12-8 17:00:57

似乎现在有很多BE反作弊游戏的外{过}{滤}挂也是这么干的
用来绕过ring0级保护的BE
还有注册为输入法等方法的奇葩注入（最后BE连搜狗都不放过国产输入法赶尽杀绝）

显示全部楼层 · 发表于 2017-12-8 18:24:33

无文件攻击

“攻击的目的是让恶意软件在正常软件的进程中执行任意代码。
我还是躲到火星吧，以后各种攻击都会有。

显示全部楼层 · 发表于 2017-12-8 19:50:12

比特币彻底上天了~~上万美元~~不要有新的勒索+强力漏洞出来啊

显示全部楼层 · 发表于 2017-12-8 20:04:45

做为吃瓜群众，只能看大佬在那讨论，而自己一脸懵逼。。

显示全部楼层 · 发表于 2017-12-8 20:39:45

这个漏洞报给安全厂商了吗

显示全部楼层 · 发表于 2017-12-9 00:00:02

wangkaka 发表于 2017-12-8 15:07
ams就我测试最大问题是内存中的毒，很多查得出杀不掉。至于注入缓存的内存页不需担心。。似乎eset ...

有缓存的，但是不知道缓存机制是什么。没缓存的话性能影响就很恐怖了。

[讨论] Process Doppelgänging绕过大量杀软