您现在的位置: 华盟网 >> 网管 >> 入侵检测 >> 正文

[图文]对Windows Rootkit的细粒度动态分析

2015/3/22 作者:佚名 来源: 360安全播报
导读 77169.com小编引导:近期发现的针对Windows用户的复杂攻击中都至多有一局部代码运转在零碎内核中。例如:Equation, Regin, Dark Hotel, or Turla/Urobu

  

t014ab2d74efd27507b.png

  这里通过MDL映射SSDT表,并找到NtOpenProcess和NtOpenThread对应的位置,并用自身的函数地址覆盖。随后的,从用户层的NtOpenProcess和NtOpenThread的调用都被劫持到Rootkit的函数中。

  总结

  在最近几年,内核级的恶意代码已经变成最高级最复杂的攻击程序的一部分。因此,安全方案和分析沙盒需要适应和具备分析、理解内核代码并防范这累威胁的能力。Lastline Breach具有细粒度沙盒通过全系统模拟的方法并可以对系统层和用户层进行有效的分析。这允许我们获得一份完整的恶意程序行为记录,来发现和缓解这类威胁。

  想要了解Lastline Breach更多的功能,可以通过我们今天刚刚发布的公告

  http://labs.lastline.com/high-resolution-dynamic-analysis-of-windows-kernel-rootkits

                  微信群名称:华盟黑白之道二群   华盟-黑白之道⑦QQ群: 9430885

  • 上一篇网管:

  • 下一篇网管:
  • 网友评论
      验证码
     

    关注

    分享

    0

    讨论

    2

    猜你喜欢

    论坛最新贴