当前位置:首页 > 报告详情

明目张胆的规避:对手如何十多年来破解用户模式保护引擎.pdf

上传人: 竿*** 编号:982121 2025-11-29 68页 1.08MB

1、#SECTORCA BlackHatEventsEvading in Plain Sight:How Adversaries Beat User-ModeProtection Engines for Over A Decade#SECTORCA BlackHatEventsOmri Misgav Independent Security Researcher Reverse engineering,OS internals and malware research Previously Head of FortiGuard Research IL Fortinet Past speaker a

2、t DEFCON,AVAR,BSidesLV and othersP.S.know a cool place for bungy jumping?Feel free to share About Mein/omri-misgav#SECTORCA BlackHatEvents Introduction Hook Evasion tactic Argument Forgery tactic Engine Disarming tactic ConclusionsAgenda*No AI was used while preparing this session#SECTORCA BlackHatE

3、vents1.Obscure context1.Blend in execution chainIntro Evasion Strategiesexplorer.exeword.exe%TEMP%MsMpEng.exe%TEMP%mpsvc.dllExecuteExecuteLoad#SECTORCA BlackHatEvents1.Obscure context1.Blend in execution chain2.Break execution chainexplorer.exeoutlook.exemalware.exeScheduled tasksvchost.exemalware.e

4、xeIntro Evasion StrategiesExecuteExecuteExecuteCreate#SECTORCA BlackHatEvents1.Obscure context1.Blend in execution chain2.Break execution chain2.Hinder visibilityIntro Evasion StrategiesHKLMSYSTEMCurrentControlSetS%Temp%driver.sysexplorer.exechrome.exemalware.exeExecuteExecuteWriteRead ReadWrite#SEC

5、TORCA BlackHatEvents User-mode monitoringInstrumentationHooking Why?Simple,stableLack of Patch ProtectionFull contextIntro Endpoint Security Solutions Architecture OverviewPRODUCT.dlllibrary.dllntoskrnl.exeAMSIPRODUCT.exePRODUCT.sysETW/Event LogKernel spaceUser spaceETW/Event Logapp.exeProducerconsu

6、merInline operationCommunication channel#SECTORCA BlackHatEvents A data structure that stores information about the active subroutines of an applicationIntro Call Stackntdll.dllNtDeviceIoControlFilewininet.dllInternetOpenUrlWInternetOpenUrlAInternalInternetOpenUrlAnetwork_driver.syssend_packethandle

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
根据《Evading in Plain Sight:How Adversaries Beat User-Mode Protection Engines for Over A Decade》一文,以下是全文关键点: 1. **用户模式保护引擎逃避策略**:恶意软件通过多种技术逃避用户模式保护引擎,如钩子逃避、参数伪造和引擎禁用。 2. **钩子逃避技术**:包括二级DLL映射、二进制恢复、直接系统调用调用和代码拼接。 3. **参数伪造技术**:通过在检查和实际使用参数之间交换参数来绕过保护引擎。 4. **引擎禁用技术**:通过卸载保护引擎或修改其行为来禁用保护。 5. **技术发展**:过去五年中,钩子逃避方法从12种增加到20种,引擎禁用方法从2种增加到5种。 6. **用户模式端点安全解决方案的局限性**:这些解决方案容易受到逃避技术的影响,且可能无法检测到所有类型的攻击。
如何规避用户模式保护引擎? 如何伪造参数绕过安全检查? 如何使安全引擎失效?
客服
商务合作
小程序
服务号
折叠