-2

这个想法很简单,即尽量不遵循标准。例如要向 Firefox 注入一些东西,恶意软件需要知道进程的名称是“firefox.exe”,或者要在 Internet Explorer 中注入一些东西,恶意软件需要知道该进程是“iexplorer.exe”。但如果 Firefox 或 Internet Explorer 不遵循该约定,那就很难了。想法是放一个逻辑来更改进程的名称。为此,真正的“firefox.exe”被我们的“firefox.exe”文件替换。这个重复文件只是一个启动文件,真正的 Firefox 可执行文件被重命名为一些 `random string.exe'。当系统触发“firefox.exe”时,这将打开我们的“firefox.exe”可执行文件。这个可执行文件将反过来打开真正的 Firefox 可执行文件作为“随机字符串.exe” 并使用“SetProcessInformation”API 设置虚拟进程信息。使用“SetProcessInformation”,我们将设置可执行文件的错误位置,因此恶意软件无法根据该位置找到真正的进程。

任何机构都可以建议它有多可行(假设 SetProcessInformation 可以设置错误的进程位置)?

4

1 回答 1

1

它可能不值得麻烦。

攻击者只需要一个进程的句柄,如果你重命名 exe,你只会让它变得更难一点,但不是那么多。例如,简单地监视打开 firefox 历史数据库的进程或任何为 firefox 更新服务器进行 DNS 查找的进程就足够了。或者只是 MD5 将所有 exe 相加并具有一组已知的二进制图像。

基本上,如果您有一些代码可以将 DLL 或代码注入到外部进程中,那么您已经失去了对系统的控制。

于 2014-04-21T17:49:43.177 回答