日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
如何使用FalconEye實(shí)時(shí)檢測(cè)Windows進(jìn)程注入行為

關(guān)于FalconEye

FalconEye是一款功能強(qiáng)大的Windows終端安全檢測(cè)工具,可以幫助廣大研究人員實(shí)時(shí)檢測(cè)Windows進(jìn)程注入行為。FalconEye也是一個(gè)內(nèi)核模式驅(qū)動(dòng)工具,旨在實(shí)現(xiàn)實(shí)時(shí)的進(jìn)程注入行為。由于FalconEye需要以?xún)?nèi)核模式運(yùn)行,它可以提供一個(gè)強(qiáng)大可靠的安全防御機(jī)制來(lái)抵御那些嘗試?yán)@過(guò)各種用戶(hù)模式鉤子的進(jìn)程注入技術(shù)。

成都創(chuàng)新互聯(lián)公司是一家專(zhuān)業(yè)提供廣德企業(yè)網(wǎng)站建設(shè),專(zhuān)注與成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、HTML5建站、小程序制作等業(yè)務(wù)。10年已為廣德眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)站設(shè)計(jì)公司優(yōu)惠進(jìn)行中。

工具架構(gòu)

  • FalconEye驅(qū)動(dòng)器是一種按需加載的驅(qū)動(dòng)程序;
  • 初始化包括通過(guò)libinfinityhook設(shè)置回調(diào)和syscall鉤子;
  • 回調(diào)維護(hù)從跨流程活動(dòng)(如OpenProcess)構(gòu)建的Pids的映射,但不限于OpenProcess;
  • 隨后的回調(diào)和syscall鉤子使用這個(gè)Pid映射來(lái)減少處理中的噪聲;
  • 作為降噪的一部分,syscall鉤子可以過(guò)濾掉相同的進(jìn)程活動(dòng);
  • 檢測(cè)邏輯分為多種子類(lèi),即無(wú)狀態(tài)(例如:Atombombing)、有狀態(tài)(Unmap+Overwrite)和浮動(dòng)代碼(多種技術(shù)實(shí)現(xiàn)的Shellcode);
  • 針對(duì)有狀態(tài)的檢測(cè),syscall鉤子會(huì)記錄一個(gè)ActionHistory(歷史活動(dòng)),比如說(shuō),它會(huì)記錄所有的NtWriteVirtualMemory調(diào)用;
  • 檢測(cè)邏輯具有常見(jiàn)的異常檢測(cè)功能,如浮動(dòng)代碼檢測(cè)和遠(yuǎn)程進(jìn)程中Shellcode觸發(fā)器的檢測(cè)?;卣{(diào)和syscall鉤子都會(huì)調(diào)用這個(gè)公共功能來(lái)進(jìn)行實(shí)際檢測(cè);

需要注意的是,我們的重點(diǎn)一直是檢測(cè)任務(wù)本身,而不是創(chuàng)建一個(gè)高性能的檢測(cè)引擎。

項(xiàng)目目錄結(jié)構(gòu)

 
 
 
    
  
  
  
    2. 
  
  
  
  2.  
    3. 
  
  
  
  3. ├── src 
    4. 
  
  
  
  4.  
    5. 
  
  
  
  5. │   ├── FalconEye ---------------------------# FalconEye user and kernel space 
    6. 
  
  
  
  6.  
    7. 
  
  
  
  7. │   └── libinfinityhook ---------------------# Kernel hook implementation 
    8. 
  
  
  
  8.  
    9. 
  
  
  
  9. ├── 2021BHASIA_FalconEye.pdf 
    10. 
  
  
  
  10.  
    11. 
  
  
  
  11. └── README.md 
    12.

工具要求

  • Windows 10 Build 1903/1909
  • Microsoft Visual Studio 2019
  • VmWare、Hyper-V等虛擬化軟件

工具安裝

(1) 項(xiàng)目構(gòu)建

  • 使用Microsoft Visual Studio 2019打開(kāi)解決方案;
  • 選擇x64作為構(gòu)建平臺(tái);
  • 構(gòu)建解決方案,此時(shí)將在“src\kernel\FalconEye\x64\Debug”或“src\kernel\FalconEye\x64\Release”路徑下生成sys源碼;

(2) 測(cè)試設(shè)備部署

在虛擬機(jī)中安裝好Windows 10 Build 1903/1909;

配置虛擬機(jī)以測(cè)試未簽名的驅(qū)動(dòng)程序,使用bcdedit,禁用完整性檢測(cè):

 
 
 
    
  
  
  
  1. BCDEDIT /set nointegritychecks ON 
    2.

在虛擬機(jī)中運(yùn)行DbgView,或使用WinDbg開(kāi)啟一個(gè)調(diào)試連接;

工具使用

  • 我們需要將sys文件拷貝到測(cè)試設(shè)備(Windows 10虛擬機(jī))中;
  • 使用OSR加載器或類(lèi)似的工具,以“按需”加載驅(qū)動(dòng)器的形式加載sys;
  • 運(yùn)行類(lèi)似pinjectra或minjector之類(lèi)的注入測(cè)試工具;
  • 通過(guò)WinDbg或DbgView監(jiān)控調(diào)試日志;

項(xiàng)目地址

FalconEye:【GitHub傳送門(mén)】


分享文章:如何使用FalconEye實(shí)時(shí)檢測(cè)Windows進(jìn)程注入行為
當(dāng)前鏈接:http://www.5511xx.com/article/dpsgjic.html