@火凤凰
2年前 提问
1个回答
Process Hollwing 内核怎么检测
帅末
2年前
官方采纳
- 检测父进程与子进程的进程链(父子进程链)
对于父子进程,在程序运行时首先进入的是父进程,其次是子进程。例如,有两个可疑的Lsass.exe进程, 但是这两个进程的父进程并不是winlogo- exe(在Vista系统前的系统)或winitit exe(在Vista系统以及后的系统)。
- 比较PEB结构和VAD结构
PEB结构一般位于该进程的内存中,这结构中保存着进程的磁盘绝对路径,以及内存加载的基质。
VAD结构则是位于内核中的内存中,包含着进程连续虚拟内存空间的分配信息,如果进程加载了可执行文件,则节点中会记录有关可执行文件的起始地址、结束地址以及完整的路径信息。
- 检测可疑的内存保护属性
一般的恶意软件都会将要Process Hollwing的程序的内存保护属性设为可读写执行。任何可执行文件正常加载到内存后都会拥有PAG EXECUTE WRITECOPY的内存保护属性。