进程注入检测：Malfind和get-InjectedThread.ps1

Alibaba · 2022-1-17 15:22:12

对于今天的安全分析师来说，在日常操作中利用许多众所周知的免费开源工具和脚本是很常见的。在某些情况下，理解工具用来得出结论的逻辑和标准可能变得至关重要。当信息安全社区不断地产生大量的开放源码工具时，了解您正在运行的代码总是一个好主意。

在这篇博客文章中，我将研究当前用于检测进程虚拟地址空间内潜在注入内存部分的两种方法。虽然这些方法有着相同的目标，但它们之间存在一些关键差异，引起了一些有趣的讨论。第一种方法是著名的名为Malfind的插件，用于波动性和Rekall记忆取证框架。易变性是一个用Python编写的开源工具，它一直是对捕获的内存图像进行分析的标准。Rekall项目最初是作为一个新的代码分支而启动的，它是从Volativatives源代码中分离出来的，因此与波动性有许多相似之处。Rekall还包括Malfind插件，但它的重点是“端到端”的内存分析框架，这与波动性不同，从而导致了它对实时内存运行的标志性能力。

波动性和Rekall存在于“真正的”内存取证领域，并且使用原始内存手动查找和解析数据结构，通常是在操作系统级别。Malfind和其他许多易变插件的过程从解析内核调试器块开始。KDGB是一种内核级数据结构，其目的是允许内核调试器定位其他操作系统数据结构。Rekall匹配此步骤之后的波动性，但采用不同的初始过程，它不依赖于KDBG(RekallForesnics博客-我们需要内核调试器块吗？).

进程注入检测：Malfind和get-InjectedThread.ps1 - Alibaba_UltraDebug

KDBG包含一个名为PsActiveProcessHead的元素，它指向一个双链接的_EPROCESS结构列表，每个结构对应于系统上的一个活动进程。

进程注入检测：Malfind和get-InjectedThread.ps1 - Alibaba_UltraDebug

每个EPROCESS结构中感兴趣的成员是Vadroot

还有更多的精彩内容，作者设置为付费后可见

账号		自动登录	找回密码
密码			立即注册

[原创] 进程注入检测：Malfind和get-InjectedThread.ps1

相关帖子