对抗杀软的父进程检测
简介
父进程检测是指对新进程调用链的检测,一般情况下,我们通过鼠标点击运行的程序,都是通过各用户的explorer.exe进程创建的。或者是通过系统组件在一定时机,比如计划任务,来拉起创建的新进程,这里进程的父进程一般都是系统可信组件(高信誉程序,带有签名等因素)。
但是,某些时候,比如我们通过钓鱼行动,发送了一个loader或者下载器,释放了白加黑的恶意代码。这个时候,白程序虽然是带签名的,但是实际运行它的进程,也即父进程是我们的loader,并没有签名,这个时候大概率就会触发父进程检测,即便当时不触发,后续你在执行一些操作的时候,就很容易被拦截,这个就是父进程检测所起的所用。
过父进程检测其中一种核心思想,就是利用系统的组件来拉起我的木马程序,达到进程链调用可信的状态,从而绕过父进程检测。 演示中的方法源码会放在文末交流圈,后续会不断更新新的绕过检测的手法。
演示
这是一个纯粹,开放,前沿的技术交流社区,成员主要有互联网大厂安全部门任职的成员,乙方红队专家,以及正在学习入门的小白等,社区涉及的领域知识包括但不限于渗透,免杀开发,红蓝对抗,安全建设,考试认证,岗位招聘等等方面,还可以结识很多志同道合的朋友,提升自己的技术栈,开阔视野,提升眼界👇👇👇
欢迎加入交流圈
扫码获取更多精彩
原文始发于微信公众号(黑晶):对抗杀软的父进程检测
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论