Process Doppelgänging：绕过杀软检测的新技术

文章预览

今天在Black Hat欧洲2017大会上，两名来自enSilo公司的安全研究员介绍了一种新的代码注入技术，他们命名为“Process Doppelgänging”。 这种新的攻击方式对所有windows平台都有效，并且能够攻击主流的安全产品。 Doppelgänging利用两种特性来掩盖加载修改版可执行文件的过程。通过使用NTFS，我们可以在不写入硬盘的情况下修改可执行文件。这样的结果就是我们可以为修改版的可执行文件建立进程，而杀毒软件的安全机制检测不到。 攻击大部分杀毒软件 研究人员成功在卡巴斯基、比特梵德、ESET、赛门铁克、McAfeee、Windows Defender、AVG、Avast、奇虎360和Panda上测试通过。更加高级的取证工具比如Volatility也检测不了。 研究人员利用Process Doppelgänging方法运行Mimikatz，但是没有被 ………………………………