ProcessDoppelg?nging攻擊技術(shù)與貼身防護是怎樣的

Process Doppelg?nging攻擊技術(shù)與貼身防護是怎樣的，相信很多沒有經(jīng)驗的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個問題。

在西市等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站制作、成都網(wǎng)站設(shè)計網(wǎng)站設(shè)計制作定制網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),成都品牌網(wǎng)站建設(shè),成都營銷網(wǎng)站建設(shè),外貿(mào)網(wǎng)站制作,西市網(wǎng)站建設(shè)費用合理。

2017歐洲黑帽大會（Blackhat EUROPE 2017）上，網(wǎng)絡(luò)安全公司enSilo兩名研究人員介紹了一種名為“Process Doppelg?nging”的新型攻擊。該攻擊技術(shù)可以針對windows vista以上所有版本平臺發(fā)起攻擊，甚至可繞過大多數(shù)現(xiàn)代主流安全軟件的檢查，執(zhí)行惡意程序。

此攻擊技術(shù)披露后，360安全衛(wèi)士主動防御體系進行了緊急升級，對Process Doppelg?nging的諸如和進程創(chuàng)建等攻擊行為進行了多維度攔截，完美破解了攻擊的“反偵察”技術(shù)，為用戶實現(xiàn)了貼身保護。

0x01攻擊原理

微軟從Windows Vista開始支持NTFSTransaction（TxF），最初的目的是用于文件升級和分布協(xié)同（DistributedTransaction Coordinator，DTC)等場景，可以回滾修改操作。Process Doppelg?nging攻擊利用TxF的可以回滾的特性，（1）先用惡意程序?qū)懜采w白程序，（2）然后將覆蓋后的文件加載到內(nèi)存，（3）加載完成后回滾磁盤上的文件為寫覆蓋之前的文件，（4）最后利用（2）加載到內(nèi)存中的Section創(chuàng)建進程，最終達到執(zhí)行惡意程序并繞過殺軟檢查的目的。