Process Hollwing 的内核怎么检测?

Process Hollwing的内核怎么检测?


发现错别字 1周前 提问
回答
1
浏览
44
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
信息安全保障人员-安全集成(专业级) CISP-IRE CISP-ICSSE CISP_PIP
最佳答案

1、检测父进程与子进程的进程链(父子进程链)
对于父子进程,在程序运行时首先进入的是父进程,其次是子进程。例如,有两个可疑的Lsass.exe进程, 但是这两个进程的父进
程并不是winlogon. exe(在Vista系统前的系统)或winitit exe(在Vista系统以及后的系统)。
2、比较PEB结构和VAD结构
PEB结构一般位于该进程的内存中,这结构中保存着进程的磁盘绝对路径,以及内存加载的基质。
VAD结构则是位于内核中的内存中,包含着进程连续虚拟内存空间的分配信息,如果进程加载了可执行文件,则节点中会记录有关可
执行文件的起始地址、结束地址以及完整的路径信息。
3、检测可疑的内存保护属性
一般的恶意软件 都会将要Process Hollwing的程序的内存保护属性设为可读写执行。任何可执行文件正常加载到内存后都会拥有
PAG EXECUTE WRITECOPY的内存保护属性。

6天前 / 评论
回答数量: 1