网络安全等级保护:恶意软件技术简介

admin 2024年5月21日22:28:28评论6 views字数 1168阅读3分53秒阅读模式

恶意软件技术

当然,恶意软件可以简单地以文件形式传送到计算机;然而,恶意软件可以使用多种先进技术来感染目标系统。一种相当先进的技术称为工艺空心化MITRE组织对进程空洞化的定义如下:

进程空洞通常是通过创建一个处于挂起状态的进程,然后取消映射/空洞其内存来执行的,然后可以用恶意代码替换它。可以使用本机Windows API调用(例如CreateProcess)创建受害者进程,其中包含一个用于挂起进程主线程的标志。此时,可以在写入之前使用ZwUnmapViewOfSectionNtUnmapViewOfSectionAPI调用取消映射进程,重新对齐注入的代码,并分别通过VirtualAllocExWriteProcessMemorySetThreadContextResumeThread恢复进程。

另一种技术称为线程执行劫持。该技术是通过暂停现有进程并掏空其内存来执行的,然后用恶意负载替换内存。这实际上与进程空洞非常相似,不同之处在于线程执行劫持的目标是现有进程而不是创建进程。

进程分身是一种利用Windows安全功能的技术。Windows Vista引入了事务性NTFS(TxF),旨在确保完整性。它的操作方式是在给定时间仅允许一个句柄写入文件。在该句柄事务完成之前,所有其他句柄都无法写入文件。恶意行为者可以使用TxF执行一种无文件进程注入。合法进程的内存被恶意代码替换。

进程双重执行分四个步骤:

ØTransact:使用有效的可执行文件创建TxF交易,并用恶意代码覆盖该文件。这些更改仅在交易上下文中可见;因此,它不太可能触发防病毒软件。

Ø加载:创建内存共享部分并加载恶意负载/可执行文件。

Ø回滚:撤消对原始可执行文件的更改,这具有覆盖所做操作的效果。

ØAnimate:从内存的受污染部分创建一个进程并启动执行。

另一种技术是DLL注入。此过程涉及欺骗应用程序加载包含恶意代码的动态链接库(DLL)。将任意代码注入进程的软件称为“DLL注入器

当防病毒软件出现问题时

任何检测方法都会有误报(即软件说该文件实际上不是恶意软件)和误报(即软件认为无害文件是恶意软件)。您可能认为只有假阴性才是问题。那不是真的。误报可能会导致严重的问题。2017年9月,Google Play防病毒软件错误地将摩托罗拉Moto G4蓝牙应用程序识别为病毒并将其关闭。2022年,Microsoft Defender错误地将所有基于Chromium的网络浏览器和应用程序(包括WhatsApp和Spotify)标记为恶意软件。

当选择防病毒解决方案时,了解软件的性能统计数据非常重要。误报可能会导致一样严重的问题。

参考:

网络安全等级保护基本要求
等级保护技术基础培训教程

原文始发于微信公众号(河南等级保护测评):网络安全等级保护:恶意软件技术简介

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月21日22:28:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全等级保护:恶意软件技术简介https://cn-sec.com/archives/2756977.html

发表评论

匿名网友 填写信息