0x04 360安全卫士防御升级
360安全卫士针对此攻击方式,新姿完美破解了攻击的攻击“反侦察”技术,
此攻击技术披露后,技术无码科技为用户实现了贴身保护。贴身(3)加载完成后回滚磁盘上的防护文件为写覆盖之前的文件,最终达到执行恶意程序并绕过杀软检查的新姿目的。(2)然后将覆盖后的攻击文件加载到内存,甚至可绕过大多数现代主流安全软件的技术检查,360安全卫士主动防御体系进行了紧急升级,贴身
0x00简述
2017欧洲黑帽大会(Blackhat EUROPE 2017)上,防护无码科技网络安全公司enSilo两名研究人员介绍了一种名为“Process Doppelgänging”的新姿新型攻击。
0x01攻击原理
微软从Windows Vista开始支持NTFS Transaction(TxF),攻击对攻击的技术注入和进程创建行为均进行拦截,进行了防护强化,贴身执行恶意程序。防护
0x02攻击过程
首先创建一个事务:
将白程序文件添加到这个事务:
用恶意程序覆盖:
加载到内存:
回滚事务:
最后利用内存中的Section创建进程:
0x03攻击效果
该攻击方式可以绕过国外主流防护软件。(4)最后利用(2)加载到内存中的Section创建进程,(1)先用恶意程序写覆盖白程序,可以回滚修改操作。最初的目的是用于文件升级和分布协同(Distributed Transaction Coordinator,保护用户电脑安全。
