Главные отличия Process Doppelgänging и Process Hollowing
На симпозиуме 2017 года была показана новейшая процессуальная техника, с помощью которой запускается процесс Process Doppelgänging. Иными словами, он способен запустить вирус в систему Виндовс без особых усилий. Разработчики вирусов быстро взяли на вооружение новый процесс, который стал следующим после Process Hollowing. Новый процесс способен обойти самые хорошие и быстро реагирующие антивирусные системы.
Оба процесса Process Doppelgänging и Process Hollowing схожи между собой, но у них есть отличия:
новый Process Doppelganging лучше взаимодействует с информационной системой;
присутствует другая конструкция запуска приложения;
используются другие функции трансакций – NTFS и WinAPI.
Новая техника совершенно по-другому показывает себя в действии. Вирмейкеры и иные защитники драйверов не были готовы к тому, что Process Doppelganging будет использовать WinAPI при загрузке вредоносных кодов. Такие вызовы – редкие гости при запуске обыкновенной проги. Конечно, существуют схемы, которые помогают спрятать извещение WinAPI, но не все готовы к их употреблению.
Процессуальная разница техник введение кода
Старый и многофункциональный технический процесс предполагает замену кода прерванного правомочного процесса на вирус с последующим его применением. Самостоятельно меняется работа загрузки операционной системы, делается за нее участок роботы и вносится код с вирусом.
При функционировании новейшей техники Process Doppelganging необходимо совершить такой алгоритм действий:
выполняется новая операция NTFS;
создается предварительный файл для кода;
создаются буферы в памяти;
проверяется функционирование шифра;
запускается окончательный процесс.
Спецы объяснили желающим, что для эксплуатации Process Doppelgänging нужно знать много подробностей о работоспособности и функционировании процесса. Подобные вирусные атаки функционируют против всех систем Виндовс, способны обойти самые хорошие антивирусные программы и запустить вредоносный код прям перед носом.
Но опубликовать обновления для Process Doppelgänging практически невозможно, так как процесс использует основные механизмы функционирования и работоспособности операционной системы.
Читать статью на:
