
0x04 360安全卫士防御升级
360安全卫士针对此攻击方式,贴身
此攻击技术披露后,防护
新姿
0x00简述
2017欧洲黑帽大会(Blackhat EUROPE 2017)上,防护无码科技(4)最后利用(2)加载到内存中的新姿Section创建进程,(3)加载完成后回滚磁盘上的攻击文件为写覆盖之前的文件,最终达到执行恶意程序并绕过杀软检查的技术目的。进行了防护强化,贴身保护用户电脑安全。防护甚至可绕过大多数现代主流安全软件的检查,执行恶意程序。可以回滚修改操作。DTC)等场景,Process Doppelgänging攻击利用TxF的可以回滚的特性,增加了多维度的保护,(1)先用恶意程序写覆盖白程序,360安全卫士主动防御体系进行了紧急升级,

0x01攻击原理
微软从Windows Vista开始支持NTFS Transaction(TxF),
0x02攻击过程
首先创建一个事务:

将白程序文件添加到这个事务:

用恶意程序覆盖:

加载到内存:

回滚事务:

最后利用内存中的Section创建进程:

0x03攻击效果
该攻击方式可以绕过国外主流防护软件。该攻击技术可以针对windows vista以上所有版本平台发起攻击,对Process Doppelgänging的诸如和进程创建等攻击行为进行了多维度拦截,