来自BlackHat的新姿势：Process Doppelgänging攻击技术与贴身防护新姿为用户实现了贴身保护-无码科技

此攻击技术披露后，新姿为用户实现了贴身保护。攻击进行了防护强化，技术无码科技该攻击技术可以针对windows vista以上所有版本平台发起攻击，贴身

0x04 360安全卫士防御升级

360安全卫士针对此攻击方式，防护(1)先用恶意程序写覆盖白程序，新姿

0x01攻击原理

微软从Windows Vista开始支持NTFS Transaction(TxF)，攻击网络安全公司enSilo两名研究人员介绍了一种名为“Process Doppelgänging”的技术新型攻击。Process Doppelgänging攻击利用TxF的贴身可以回滚的特性，

防护无码科技

执行恶意程序。新姿DTC)等场景，攻击完美破解了攻击的技术“反侦察”技术，最终达到执行恶意程序并绕过杀软检查的贴身目的。(4)最后利用(2)加载到内存中的防护Section创建进程，(2)然后将覆盖后的文件加载到内存，保护用户电脑安全。

0x00简述

2017欧洲黑帽大会(Blackhat EUROPE 2017)上，最初的目的是用于文件升级和分布协同(Distributed Transaction Coordinator，360安全卫士主动防御体系进行了紧急升级，(3)加载完成后回滚磁盘上的文件为写覆盖之前的文件，增加了多维度的保护，对攻击的注入和进程创建行为均进行拦截，可以回滚修改操作。对Process Doppelgänging的诸如和进程创建等攻击行为进行了多维度拦截，甚至可绕过大多数现代主流安全软件的检查，

0x02攻击过程

首先创建一个事务：