瞒天过海：内存检测逃逸必杀技 (1).pdf

contents|目录

回顾：攻防往事对抗精准检测

内存检测策略对抗持续检

剖析测

/01

回顾：攻防往事

意义何在？

Q：BYOVD技术已经成熟且武器化，且EDR

检测能力逐渐完善，为什么还要研究内存检

测逃逸相关的技术？

意义何在？

高压环境下的EDR致盲目的不再止步于

“一键卸载安全卫士/电脑管家”

意义何在？

•有以下几种场景是不能完全依赖BYOVD的，我们的木马要被迫与完全体EDR共存。

•加载驱动的黑白名单。

•EDR的R3/R0组件中有类暗桩的存在。

•与EDR控制端通信的模块直接做在了R0里面，卸载驱动等同于直接切断通信。

•部分场景下，根本没有系统的高权限且无法提权。

•机器重启后，被致盲的EDR会恢复正常，权限维持的木马必须有一定存活能力。

•

需要做什么

•两个阶段

•木马Loader载入Shellcode并释放植入体的整个初始化过程需要逃逸EDR的检测；

•植入体线程在“运行——休眠”的过程中长期与EDR共存而不被检测到。

回顾：一个标准Loader的工作原理

回顾：EDR检测原理

•R3：借助APIHOOK拦截敏感函数调用，跟踪参数和返回值。

•R0：利用底层组件监控敏感调用。

•内核回调-Windows/内核探针（Kprobes）-Linux

•内核钩子

•ETW

•硬件辅助

•

/02

内存检测策略剖析

内存检测

•EDR的内存取证功能可以收集和分析内存中的数据，重建事件的时间线和上下文。包括分析

内存中的残留数据、运行时状态和其他关键信息。

•关键词1-栈回溯：

•32位下可以很方便地找到每一个函数的返回地址和栈帧。

•64位默认开启了FPO优化，不保存RBP到栈上。

•关键词2-“随机”内存扫描。

•标记的RWX内存页、高熵内存页

•由栈回溯发现的可疑地址或调用链触发

•线程休眠时期

•

内存检测

一个x64下栈回溯检测的示例

内存检测

两类扫描策略偏好

策略①-偏向精准检测•策略②-偏向持续检测

•-R3Hook，初筛敏感API调用；•-监控线程状态（包含线程的堆栈、运行状态等）；

•-检测SYSCALL；•-对私有内存页进行扫描（通常在线程休眠时）；

•-触发规则就进行栈回溯；•-搜索高熵区域、RWX等区域，重点标记；

•-重点扫描可疑地址对应的内存。•-对重点标记区提升扫描频率或重点监控该区域的读

写、访问行为