@火凤凰
2年前 提问
1个回答

Process Hollwing 内核怎么检测

帅末
2年前
官方采纳
  • 检测父进程与子进程的进程链(父子进程链)

对于父子进程,在程序运行时首先进入的是父进程,其次是子进程。例如,有两个可疑的Lsass.exe进程, 但是这两个进程的父进程并不是winlogo- exe(在Vista系统前的系统)或winitit exe(在Vista系统以及后的系统)。

  • 比较PEB结构和VAD结构

PEB结构一般位于该进程的内存中,这结构中保存着进程的磁盘绝对路径,以及内存加载的基质。

VAD结构则是位于内核中的内存中,包含着进程连续虚拟内存空间的分配信息,如果进程加载了可执行文件,则节点中会记录有关可执行文件的起始地址、结束地址以及完整的路径信息。

  • 检测可疑的内存保护属性

一般的恶意软件都会将要Process Hollwing的程序的内存保护属性设为可读写执行。任何可执行文件正常加载到内存后都会拥有PAG EXECUTE WRITECOPY的内存保护属性。