怎样使用FalconEye实时检测Windows进程注入行为
发布时间:2022-02-16 09:33:20 所属栏目:安全 来源:互联网
导读:FalconEye是一款功能强大的Windows终端安全检测工具,可以帮助广大研究人员实时检测Windows进程注入行为。FalconEye也是一个内核模式驱动工具,旨在实现实时的进程注入行为。由于FalconEye需要以内核模式运行,它可以提供一个强大可靠的安全防御机制来抵御那
|
FalconEye是一款功能强大的Windows终端安全检测工具,可以帮助广大研究人员实时检测Windows进程注入行为。FalconEye也是一个内核模式驱动工具,旨在实现实时的进程注入行为。由于FalconEye需要以内核模式运行,它可以提供一个强大可靠的安全防御机制来抵御那些尝试绕过各种用户模式钩子的进程注入技术。 工具架构:FalconEye驱动器是一种按需加载的驱动程序;初始化包括通过libinfinityhook设置回调和syscall钩子;回调维护从跨流程活动(如OpenProcess)构建的Pids的映射,但不限于OpenProcess;随后的回调和syscall钩子使用这个Pid映射来减少处理中的噪声;作为降噪的一部分,syscall钩子可以过滤掉相同的进程活动;检测逻辑分为多种子类,即无状态(例如:Atombombing)、有状态(Unmap+Overwrite)和浮动代码(多种技术实现的Shellcode);针对有状态的检测,syscall钩子会记录一个ActionHistory(历史活动)。 比如说,它会记录所有的NtWriteVirtualMemory调用;检测逻辑具有常见的异常检测功能,如浮动代码检测和远程进程中Shellcode触发器的检测。回调和syscall钩子都会调用这个公共功能来进行实际检测;需要注意的是,我们的重点一直是检测任务本身,而不是创建一个高性能的检测引擎。 (编辑:南通站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐