网络安全等级保护：恶意软件技术简介

恶意软件技术

当然，恶意软件可以简单地以文件形式传送到计算机；然而，恶意软件可以使用多种先进技术来感染目标系统。一种相当先进的技术称为工艺空心化。MITRE组织对进程空洞化的定义如下：

“进程空洞通常是通过创建一个处于挂起状态的进程，然后取消映射/空洞其内存来执行的，然后可以用恶意代码替换它。可以使用本机Windows API调用（例如CreateProcess）创建受害者进程，其中包含一个用于挂起进程主线程的标志。此时，可以在写入之前使用ZwUnmapViewOfSection或NtUnmapViewOfSection等API调用取消映射进程，重新对齐注入的代码，并分别通过VirtualAllocEx、WriteProcessMemory、SetThreadContext和ResumeThread恢复进程。”

另一种技术称为线程执行劫持。该技术是通过暂停现有进程并“掏空”其内存来执行的，然后用恶意负载替换内存。这实际上与进程空洞非常相似，不同之处在于线程执行劫持的目标是现有进程而不是创建进程。

进程分身是一种利用Windows安全功能的技术。Windows Vista引入了事务性NTFS(TxF)，旨在确保完整性。它的操作方式是在给定时间仅允许一个句柄写入文件。在该句柄事务完成之前，所有其他句柄都无法写入文件。恶意行为者可以使用TxF执行一种无文件进程注入。合法进程的内存被恶意代码替换。

进程双重执行分四个步骤：

ØTransact：使用有效的可执行文件创建TxF交易，并用恶意代码覆盖该文件。这些更改仅在交易上下文中可见；因此，它不太可能触发防病毒软件。

Ø加载：创建内存共享部分并加载恶意负载/可执行文件。

Ø回滚：撤消对原始可执行文件的更改，这具有覆盖所做操作的效果。

ØAnimate：从内存的受污染部分创建一个进程并启动执行。

另一种技术是DLL注入。此过程涉及欺骗应用程序加载包含恶意代码的动态链接库(DLL)。将任意代码注入进程的软件称为“DLL注入器”。

当防病毒软件出现问题时

任何检测方法都会有误报（即软件说该文件实际上不是恶意软件）和误报（即软件认为无害文件是恶意软件）。您可能认为只有假阴性才是问题。那不是真的。误报可能会导致严重的问题。2017年9月，Google Play防病毒软件错误地将摩托罗拉Moto G4蓝牙应用程序识别为病毒并将其关闭。2022年，Microsoft Defender错误地将所有基于Chromium的网络浏览器和应用程序（包括WhatsApp和Spotify）标记为恶意软件。

当选择防病毒解决方案时，了解软件的性能统计数据非常重要。误报可能会导致一样严重的问题。

参考：