. Архивы Process Doppelgänging | vcoole.tk

Злой двойник атакует! Маскируем запуск процессов при помощи Process Doppelgänging

Содержание статьи

  • Различия Process Doppelganging и Process Hollowing
  • Приступаем к работе
  • Как пользоваться недокументированными NTAPI
  • Заключение

На конференции Black Hat Europe 2017 был представлен доклад о новой технике запуска процессов под названием Process Doppelganging. Вирмейкеры быстро взяли эту технику на вооружение, и уже есть несколько вариантов малвари, которая ее эксплуатирует. Я расскажу, в чем суть Process Doppelganging и на какие системные механизмы он опирается. Заодно напишем небольшой загрузчик, который демонстрирует запуск одного процесса под видом другого.

Техника Process Doppelganging чем-то похожа на своего предшественника — Process Hollowing, но отличается механизмами запуска приложения и взаимодействия с загрузчиком операционной системы. Кроме того, в новой технике применяются механизм транзакций NTFS и соответствующие WinAPI, например CreateTransaction, CommitTransaction, CreateFileTransacted и RollbackTransaction, которые, разумеется, не используются в Process Hollowing. Читать дальше проЗлой двойник атакует! Маскируем запуск процессов при помощи Process Doppelgänging

Advertisment ad adsense adlogger
Яндекс.Метрика