Equivalente di Windows Process Hollowing su Linux / Unix / MacOS

Naviga le tue risposte
2

Per riassumere il processo che si sta svuotando su Windows: in pratica, un binario PE legittimo (exe di solito) viene utilizzato per avviare un processo in sospeso, dopodiché la memoria del processo viene sostituita con codice e dati di un binario malevolo / altro, e processo è ripreso. Per quanto riguarda l'ambiente, l'originale binario legittimo è in esecuzione.

Ci sono molte informazioni su questo argomento, ma tutto riguarda il sistema operativo Windows. Questo problema è possibile su altri sistemi operativi e in che modo (ad esempio, quale sequenza di chiamate di sistema su Linux indicherà tale comportamento?).

Grazie!

    
posta Andy T 14.03.2017 - 16:32
fonte

1 risposta

2

Un libro, The Art of Memory Forensics, copre il processo di hollowing basato su Linux nel capitolo 25. Puoi vedere il modulo qui - link

La loro tecnica esamina la funzione principale e confronta ciò che è in memoria con ciò che è su disco. Per Windows, utilizzando processhacker (o Process Explorer), è possibile confrontare le stringhe del binario con il processo sostituito caricato in memoria. È lo stesso insieme di tecniche.

Pur non essendo sicuro delle modifiche alle chiamate di sistema, potrebbe essere diverso a seconda del kernel, della distribuzione e della terra utente di Linux. È possibile utilizzare Sysdig Falco per determinare le caratteristiche di qualsiasi malware Linux incluso e, in particolare, l'elaborazione di hollowing e / o iniezione di librerie condivise.

    
risposta data 14.03.2017 - 17:09
fonte

Leggi altre domande sui tag

Numeri casuali utilizzati in TLS Come eliminare gli indirizzi con gli exploit delle stringhe di formato