首页
安全
资讯
社区
AI
关于
登录
注册
投稿
扫码查看手机版
程序园首页
专栏
社区
赞助
代码教程
软件工具
程序源码
申请VIP
投稿
HOT
公众号矩阵
移动端
登录
/注册
首页
业界
网络安全
人工智能
区块链
社区
程序园
广播
专栏
账号
自动登录
找回密码
密码
登录
立即注册
搜索
搜索
热搜
程序源码
软件工具
代码教程
网络安全
人工智能
区块链
资讯
本版
文章
帖子
用户
好友
收藏
道具
勋章
相册
分享
设置
我的收藏
退出
程序园
»
社区
›
原创专区
›
投稿
›
emet是什么恶意软件检测
返回列表
emet是什么恶意软件检测
[复制链接]
作者:
admin
|
时间:
2026-4-17 06:05:01
|
阅读:208
|
显示全部楼层
马上注册,让你轻松玩转程序园
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
什么是无文件恶意软件?
术语无文件恶意软件是指文件系统中没有主体的恶意代码。换句话说,无文件恶意软件不需要任何文件即可执行。
永久居留(TSR)病毒是第一个无文件恶意软件示例。尽管TSR病毒具有启动它们的主体,但是一旦代码加载到内存中,可执行文件就可以被删除。但是,纯无文件恶意软件可以在磁盘上没有任何主体的情况下启动,并且可以在随机访问内存(RAM)中运行预定的时间。
此外,无文件恶意软件也是一种病毒,它利用某些远程代码执行(RCE)漏洞使合法进程执行少量的Shellcode。然后,此shellcode将恶意软件的主要部分(称为有效负载)下载到内存中并运行它。因此,恶意软件代码成为合法进程的一部分并被执行。
最初,无文件恶意软件需要一个文件并专门在RAM中运行。目前,该术语还适用于磁盘上没有本机可执行文件形式的主体的任何恶意软件。因此,基于脚本的恶意软件(JavaScript,VBScript,Sh,PowerShell)也被视为无文件恶意软件。
无文件恶意软件的主要类型
无文件恶意软件主要有两种类型,具体取决于可执行环境:
·在RAM中运行的无文件恶意软件
·利用软件脚本漏洞的无文件恶意软件
基于RAM的恶意软件
严格在RAM中执行的恶意软件的主要优点在于它是隐身的。由于防病毒软件执行的大多数检查都是在进程启动时进行的(验证数字签名,搜索病毒签名),因此已经运行的进程被认为是可疑的。因此,如果恶意软件没有在文件系统上创建任何内容,它就不会触发防病毒软件可以响应的任何事件。
此外,大多数防病毒数据库都包含带有病毒的文件的签名,这些签名基本上充当了治愈恶意软件的秘诀。因此,防病毒软件将根据磁盘上找到的文件来决定如何采取行动。但是,即使运行时保护检测到了无文件恶意软件,也无法使用它。仅存在无文件恶意软件的间接证据,例如进程可疑运行。但是终止在RAM中的每个可疑进程不是一个选择,因为这可能会威胁到宝贵的未保存用户数据。
无文件恶意软件的主要缺点在于,它高度依赖于其运行过程。为了使有效载荷运行,必须将恶意软件编译为与位置无关的代码,因为有效载荷的基址是随机的。有效负载需要检测其运行过程中可用的DLL。为了保持低调,这种类型的恶意软件必须仅依赖已加载的DLL,因为防病毒软件通常会监视正在加载的新模块。因此,如果由于未加载DLL无法访问某些API,则恶意软件必须具有自己的关键功能实现。
如果该过程终止得太早:
·Shellcode将无法下载其有效负载
·即使恶意软件已经下载了其有效负载,该有效负载也可能在达到其目标之前终止
·进程可能会在尝试保留在系统中之前终止
过去,Internet连接速度是此类恶意软件的主要限制。攻击者必须下载至少一部分恶意软件并将其保存在磁盘上,然后用户才能关闭浏览器。因此,有没有在fileless办法多大用处,而是使用了基于文件的方式:一个下载的shellcode的装载机或滴管-一个小的可执行文件,没有做任何伤害自己。加载程序的目的是秘密地从硬编码的URL中获取有效负载,然后执行它。
现代软件的运行时间足以确保无文件攻击成功,并且在关闭软件后,进程通常仍在后台运行。因此,基于RAM的无文件恶意软件具有更好的生存机会。
基于脚本的恶意软件
使用脚本作为攻击媒介是感染计算机的另一种已知方法。已经开发出最流行的基于脚本的恶意软件类型,以利用Microsoft Office和Windows PowerShell中的漏洞。
针对Microsoft Office的无文件恶意软件
过去,Microsoft Office文档中的VBScript主要用于下载加载程序或有效负载。VBScript帮助攻击者至少执行了一些会触发下载的合法操作系统命令。但是,由于难以处理诸如流程,线程,服务,模块,注册表等操作系统实体,因此VBScript作为恶意软件主体的基础非常有限。
防病毒软件在防御这类攻击方面做得并不多,因为实施这种保护需要与Microsoft Office脚本引擎进行深度集成,而该引擎尚未记录。因此,保护的常用方法是将已知受感染文档的哈希添加到病毒数据库,并阻止这些哈希文件被下载或打开。有时,防病毒软件试图分析文档的内容以查找已知的VBScript字节码序列。但是,恶意软件很快就会通过使用VBScript模糊处理来克服这一问题。
这场战斗失败了,Microsoft Office提供的唯一解决方案是默认情况下禁用脚本,并在Office文档中使用任何VBScript代码时显示“活动内容”警告。该措施减少了感染数量,尽管并没有将这种攻击的有效性降低到零。
针对Windows PowerShell的无文件恶意软件
然后,攻击媒介转向了一个新的目标:Windows PowerShell。
Windows PowerShell是Windows命令行外壳,专门为系统管理员设计。它包括一个交互式提示和一个脚本环境,可以单独使用或组合使用。
此外,Windows PowerShell提供程序使您可以像访问文件系统一样轻松地访问其他数据存储,例如注册表和数字签名证书存储。
PowerShell不是可用于操纵操作系统实体的唯一脚本环境。基本上,任何解释性语言(例如Python或Ruby)都可以用于此目的。但是,PowerShell具有一个很大的优势:它已预先安装在Windows上,因此无需先安装解释器。
因此,PowerShell是无文件恶意软件的理想平台,因为:
·它使用脚本
·它具有访问关键操作系统对象的权限
·在所有现代Windows版本上均可用
·磁盘上没有本机可执行文件
最后,PowerShell不能简单地被禁用(就像Office文档中的VBScript一样),因为许多系统管理工具都依赖它。
因此,现代恶意软件可以完全实现为PowerShell脚本,并且无需下载本机二进制文件,除非需要真正特定的东西。
再次,防病毒软件在分析脚本执行时遇到问题。防病毒软件旨在分析本机代码(即x86汇编代码),而缺少分析PowerShell脚本的工具。此外,恶意软件已经开始使用混淆来隐藏PowerShell脚本的源代码。因此,没有简单的方法来区分脚本是合法的还是恶意软件。防病毒软件也不能确定PowerShell进程是由恶意软件创建还是出于合法系统需求。更糟糕的是,PowerShell引擎基于.NET构建。这意味着PowerShell解释器在.NET平台上作为JIT代码运行,这使得对于防病毒软件的PowerShell过程操作的分析更加复杂。最后,PowerShell脚本依靠外部进程来完成工作的特定部分。
无文件恶意软件如何工作?
这是网络攻击者如何用无文件恶意软件感染计算机的典型方案:
1.用户访问受感染的网站或在浏览器中打开受感染的电子邮件。
2.漏洞利用工具包扫描计算机以查找涉及PowerShell进程的Java或Flash插件或软件脚本中的未修补漏洞。
3.漏洞利用工具包利用漏洞将无文件恶意软件插入Windows PowerShell或Windows内置的其他系统管理工具。
4.成功安装后,无文件恶意软件会在可用的DLL中运行其有效负载。
5.该恶意软件会在内存中的合法进程内开始其恶意活动。
6.攻击成功!
如何检测和防御无文件恶意软件
无文件恶意软件提出的挑战是寻找一种新的方法来处理系统中的可执行实体。传统方法是沙箱,执行仿真和启发式。
沙盒
每当PowerShell进程运行时,都必须对其进行沙箱处理,以便其所有API调用都被沙箱层包装,并在检测到威胁时彻底监视和阻止所有潜在危险的调用。
但是,由于PowerShell经常执行外部进程,因此沙箱只能帮助检测脚本通过cmdlet执行的可疑操作。对于基于RAM的恶意软件,只有知道沙箱的内容后,沙箱才能提供帮助。如果已知潜在的攻击媒介并且对相应过程进行了沙盒处理,那么这可能是一个不错的解决方案。否则,如果通过电子邮件客户端中的远程代码执行(RCE)漏洞分发了恶意软件,则对浏览器进行沙箱操作将无济于事。
执行仿真
自从PowerShell成为开放源代码以来,现在可以为PowerShell脚本创建一个执行仿真解释器。在允许脚本在实际的PowerShell中运行之前,可以使用这种引擎来对其进行验证。仿真引擎还可以用于处理脚本混淆,并找到可用于将脚本标识为恶意的魔术字符串常量。但是,这无助于您看到执行外部过程后会发生什么。
对于基于RAM的恶意软件,执行仿真是有问题的。虽然不知道线程将在哪一点开始执行shell代码,但也应该从哪一点开始执行仿真。
启发式
可以应用于PowerShell脚本的主要启发式方法是监视新PowerShell脚本的外观以及它们的来源。还必须监视哪些进程正在启动PowerShell进程,因为对于浏览器或Word突然运行PowerShell来说非常可疑。可以进行限制以限制允许启动PowerShell的进程。但是,启发式方法无法就脚本是否是恶意软件做出准确的结论。这仅仅是找出问题所在的计划B。
对于基于RAM的恶意软件,Windows 10中的EMET和Windows Defender Exploit Guard提供了一组反利用技术。这些技术包括Control Flow Guard,CallerCheck和StackPivot。但是这些并不总是足够的,因为例如,现代浏览器使用的JIT代码编译器会在内存中生成可执行代码。因此,存在一组可用于写入和执行且与任何模块都不相关的内存页。因此,Exploit Guard技术无法应用于此类代码,恶意软件可以成功利用这一事实。
银弹
如您所见,无文件恶意软件保护的标准方法有很多缺点。对于基于RAM和基于脚本的恶意软件检测而言,最有效的解决方案是所谓的下一代防病毒软件,它可以分析整个系统的行为,而不是单独的文件和进程。这个想法是,防病毒软件应该能够分解系统事件的时间表,以查看是否存在可证明类似恶意软件行为的操作。具有挑战性的部分是找到一种方法来检测事件流中的恶意软件行为。这很困难,因为在单个恶意软件操作之间会发生多个合法操作,并且这些操作来自操作系统上运行的各种进程。
相关标签:
emet是什么
恶意软件检测
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
返回列表
发表新帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
Siemens 称 Desigo CC 文件被安全引擎标记为恶意软件
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案错误地标记为恶意软件
日本能源公司丢失存储有 1090 万客户数据的硬盘
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一份官方公告中,该公司
The Gentlemen 勒索软件声称有 478 名受害者,可像蠕虫一样传播
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属机构运营的,负责实施
Silent Ransom Group 通过虚假 IT 支持电话攻击律师事务所
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针对美国的律师事务所和
思科预警 2026 年第 7 个 SD-WAN 零日漏洞已被利用
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检测到的第 7 个被利用
Meta 称约 2 万个 Instagram 账户因 AI 工具遭滥用而被黑
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagram 账户可能遭到入侵
CISA 将正在被利用的 SolarWinds Serv-U DoS 漏洞加入 KEV 目录
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器软件的一个高危安全漏
Gamaredon 利用 WinRAR 漏洞对乌克兰目标发起模块化间谍攻击
Gamaredon 利用 WinRAR 漏洞向乌克兰目标投递近乎无文件的模块化恶意软件,将载荷隐藏在 Windows 数据流中
浏览过的版块
问答库
程序源码
admin
关注Ta
主题 257
帖子 253
积分 679
程序园专栏内容编辑
•
修正版泛目录程序
•
52吃瓜网落地页
•
招聘中 产品经理 12-24K
•
泛x程序,适合做x领域的泛程序
•
强制git pull覆盖本地文件的方法
•
色界导航站程序源码
•
百度泛2程序,批量推送效果好
•
电脑进入bios关闭网卡的技巧
阅读作者更多精彩帖子
新型 Gaslight macOS 恶意软件利用提示注入
一种此前未被记录的基于 Rust 的 macOS 植入程序和信息窃取器被发现嵌入了提示注入载
Siemens 称 Desigo CC 文件被安全引擎标记
Siemens 正在通知客户,其 Desigo CC 楼宇管理系统的补丁文件被多个网络安全解决方案
日本能源公司丢失存储有 1090 万客户数据的
九州电力株式会社披露了一起物理安全事件,影响了超过 1000 万客户的隐私数据。 在一
The Gentlemen 勒索软件声称有 478 名受害
对 The Gentlemen 行动的一项新分析显示,这个以经济为动机的威胁组织最初是作为附属
Silent Ransom Group 通过虚假 IT 支持电话
根据网络安全公司 Mandiant 的一份最新报告,Silent Ransom Group 勒索团伙正在积极针
思科预警 2026 年第 7 个 SD-WAN 零日漏洞
思科周四向客户通报,其 SD-WAN 产品又发现一个已被在野利用的漏洞——这是 2026 年检
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
Meta 称约 2 万个 Instagram 账户因 AI 工
Meta 表示,在最近一起滥用 AI 驱动的账户恢复支持工具的攻击中,约有 2 万个 Instagr
CISA 将正在被利用的 SolarWinds Serv-U Do
美国网络安全与基础设施安全局(CISA)已将影响 SolarWinds Serv-U 多协议文件服务器