<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("Rootkit,分析,APT攻击") PageTitle=stripHTML("对Windows Rootkit的细粒度动态分析") ArticleIntro=stripHTML("77169.com小编引导:近期发现的针对Windows用户的复杂攻击中都至多有一局部代码运转在零碎内核中。例如:Equation, Regin, Dark Hotel, or Turla/Urobu") Articlecontent=stripHTML("这里通过MDL映射SSDT表,并找到NtOpenProcess和NtOpenThread对应的位置,并用自身的函数地址覆盖。随后的,从用户层的NtOpenPro…") ModuleName = stripHTML("netadmin") InfoID = stripHTML("195048") ChannelShortName=stripHTML("网管") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("netadmin") %> 对Windows Rootkit的细粒度动态分析 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 网管 >> 入侵检测 >> 正文

[图文]对Windows Rootkit的细粒度动态分析

2015/3/22 作者:佚名 来源: 360安全播报
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

  

t014ab2d74efd27507b.png

  这里通过MDL映射SSDT表,并找到NtOpenProcess和NtOpenThread对应的位置,并用自身的函数地址覆盖。随后的,从用户层的NtOpenProcess和NtOpenThread的调用都被劫持到Rootkit的函数中。

  总结

  在最近几年,内核级的恶意代码已经变成最高级最复杂的攻击程序的一部分。因此,安全方案和分析沙盒需要适应和具备分析、理解内核代码并防范这累威胁的能力。Lastline Breach具有细粒度沙盒通过全系统模拟的方法并可以对系统层和用户层进行有效的分析。这允许我们获得一份完整的恶意程序行为记录,来发现和缓解这类威胁。

  想要了解Lastline Breach更多的功能,可以通过我们今天刚刚发布的公告

  http://labs.lastline.com/high-resolution-dynamic-analysis-of-windows-kernel-rootkits



  • 上一篇网管:

  • 下一篇网管: