楼主: B100D1E55
收起左侧

[讨论] Process Doppelgänging绕过大量杀软

  [复制链接]
QlaqCfan
发表于 2017-12-11 22:55:01 | 显示全部楼层
B100D1E55 发表于 2017-12-11 01:38
ME那个漏洞一直没去看相关资料,你指的是这个帖子的讨论?https://bbs.kafan.cn/thread-2110691-1 ...

嗯,写了一个帖子但是写到一半删了。原因首先需要写好多。。其次需要斟酌语言,毕竟我只是有一些反对意见。如果用词不当让人感觉是装逼造成帖子下面花式撕逼的话就很没意思了。。。所以想了想就没有发。只是看到这个帖子回个帖顺嘴说了一句。
驭龙
发表于 2017-12-12 08:44:55 | 显示全部楼层
本帖最后由 驭龙 于 2017-12-12 08:56 编辑
QlaqCfan 发表于 2017-12-11 22:55
嗯,写了一个帖子但是写到一半删了。原因首先需要写好多。。其次需要斟酌语言,毕竟我只是有一些反对意见 ...
这个怪我,引发的讨论
海珊瑚
头像被屏蔽
发表于 2017-12-14 02:25:40 | 显示全部楼层
怎么解决?入库?
xjq2510
发表于 2017-12-15 09:05:41 | 显示全部楼层
难道不是存在隔离网络的环境
千宫纱
头像被屏蔽
发表于 2017-12-15 09:42:58 | 显示全部楼层
也就是说鼓捣了半天,我大毛豆也无力防住么?
欧阳宣
头像被屏蔽
发表于 2017-12-15 09:49:27 | 显示全部楼层
按我浅显的理解,这整个攻击都发生在写入文件层面,那躲过了文件监控,释放到内存后,主防还能干活吧

NTFS协议有打补丁这一说么
kxmp
发表于 2017-12-15 17:46:29 | 显示全部楼层
欧阳宣 发表于 2017-12-15 09:49
按我浅显的理解,这整个攻击都发生在写入文件层面,那躲过了文件监控,释放到内存后,主防还能干活吧

NT ...

他有启动器
加载加密的payloard
启动器和payload还分开的.... 合并应该也可以..


你运行了一个白加黑 还没拦截住黑dll载入
这个代码已经运行 而且你exe还是白的. 比如ie 资源管理器.
那你能拦住这个么

ccboxes
发表于 2017-12-15 20:34:43 | 显示全部楼层
本帖最后由 ccboxes 于 2017-12-15 23:27 编辑
kxmp 发表于 2017-12-15 17:46
他有启动器
加载加密的payloard
启动器和payload还分开的.... 合并应该也可以..

远没你说的这么神。

这个东西本质还是修改要注入的程序,只是改到一半取消,也就是说必须要获得对应文件写入权限才行。你要是想用这种方法注入IE或者explorer之类的系统文件,启动器必须要有System权限(管理员权限不行)。同时这种方法并不能注入已经存在的进程,必须新建一个进程。

在安软视角一个未知程序在提权后申请低级磁盘访问,然后启动一个系统进程作子进程,已经足够可疑了。46楼也提到报告里也没有选择注入系统进程,而是挑了一个普通程序,而其他人试图利用这种方式注入Svohost失败了,提示拒绝访问。

所以这种注入方式局限性其实很大。
kxmp
发表于 2017-12-15 20:43:28 | 显示全部楼层
ccboxes 发表于 2017-12-15 20:34
远没你说的这么神。

这个东西本质还是修改要注入的程序,只是改到一半取消,也就是说必须要获得对应文 ...

还真是这样呢 我怎么忘了trustedinstaller......

但是如果他取得所有权应该就可以了....
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 08:36 , Processed in 0.097140 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表