如何使用FalconEye实时检测Windows进程注入行为 - FreeBuf网络安全行业门户

关于FalconEye

FalconEye是一款功能强大的Windows终端安全检测工具,可以帮助广大研究人员实时检测Windows进程注入行为。FalconEye也是一个内核模式驱动工具,旨在实现实时的进程注入行为。由于FalconEye需要以内核模式运行,它可以提供一个强大可靠的安全防御机制来抵御那些尝试绕过各种用户模式钩子的进程注入技术。

工具架构

FalconEye驱动器是一种按需加载的驱动程序;

初始化包括通过libinfinityhook设置回调和syscall钩子;

回调维护从跨流程活动(如OpenProcess)构建的Pids的映射,但不限于OpenProcess;

随后的回调和syscall钩子使用这个Pid映射来减少处理中的噪声;

作为降噪的一部分,syscall钩子可以过滤掉相同的进程活动;

检测逻辑分为多种子类,即无状态(例如:Atombombing)、有状态(Unmap+Overwrite)和浮动代码(多种技术实现的Shellcode);

针对有状态的检测,syscall钩子会记录一个ActionHistory(历史活动),比如说,它会记录所有的NtWriteVirtualMemory调用;

检测逻辑具有常见的异常检测功能,如浮动代码检测和远程进程中Shellcode触发器的检测。回调和syscall钩子都会调用这个公共功能来进行实际检测;

需要注意的是,我们的重点一直是检测任务本身,而不是创建一个高性能的检测引擎。

项目目录结构

.

├── src

│   ├── FalconEye ---------------------------# FalconEye user and kernel space

│   └── libinfinityhook ---------------------# Kernel hook implementation

├── 2021BHASIA_FalconEye.pdf

└── README.md

工具要求

Windows 10 Build 1903/1909

Microsoft Visual Studio 2019

VmWare、Hyper-V等虚拟化软件

工具安装

项目构建

使用Microsoft Visual Studio 2019打开解决方案;

选择x64作为构建平台;

构建解决方案,此时将在“src\kernel\FalconEye\x64\Debug”或“src\kernel\FalconEye\x64\Release”路径下生成sys源码;

测试设备部署

在虚拟机中安装好Windows 10 Build 1903/1909;

配置虚拟机以测试未签名的驱动程序,使用bcdedit,禁用完整性检测:

BCDEDIT /set nointegritychecks ON

在虚拟机中运行DbgView,或使用WinDbg开启一个调试连接;

工具使用

我们需要将sys文件拷贝到测试设备(Windows 10虚拟机)中;

使用OSR加载器或类似的工具,以“按需”加载驱动器的形式加载sys;

运行类似pinjectra或minjector之类的注入测试工具;

通过WinDbg或DbgView监控调试日志;

项目地址

FalconEye:GitHub传送门

参考资料

https://www.blackhat.com/asia-21/arsenal/schedule/#falconeye-windows-process-injection-techniques---catch-them-all-22612

https://github.com/rajiv2790/FalconEye/blob/main/2021BHASIA_FalconEye.pdf

https://modexp.wordpress.com/2018/08/30/windows-process-injection-control-handler/

http://blog.txipinet.com/2007/04/05/69-a-paradox-writing-to-another-process-without-openning-it-nor-actually-writing-to-it/

https://modexp.wordpress.com/2019/06/15/4083/

https://modexp.wordpress.com/2018/09/12/process-injection-user-data/

https://modexp.wordpress.com/2018/08/26/process-injection-ctray/

https://github.com/everdox/InfinityHook/

https://github.com/SafeBreach-Labs/pinjectra/

https://github.com/antonioCoco/Mapping-Injection

本文来源于: https://www.freebuf.com/articles/system/281129.html

相关推荐

Pre-Auth RCE in ManageEngine OPManager · Haxolot.com

Vulnerability Summary ManageEngine OpManager is a popular Java-based network monitoring solution used by large companies

macOS TCC.db Internals by keith | Rainforest Engineering

macOS TCC.db Internals Keith Johnson, Tuesday February 9, 2021 A deep dive into what the TCC database contains and the m

A guide to non-conventional WAF/IDS evasion techniques – 0xFFFF@blog:~$

This is a tutorial detailing various non-conventional methods of circumventing signature based WAF or IDS software. Rath

CVE-2021-22555 linux内核提权 - 安全客,安全资讯平台

robots 该漏洞作者Andy Nguyen (theflow@) ,writeup已经公开。 简单概述 主要是在xt_compat_target_from_user()中有溢出,经过特殊构造产生uaf, 具体exp中,使用了struct

加密固件之依据老固件进行解密

作者:OneShell@知道创宇404实验室 时间:2021年7月27日 IoT漏洞分析最为重要的环节之一就是获取固件以及固件中的文件系统。固件获取的方式也五花八门,硬核派有直接将flash拆下来到编程器读取,通过硬件调试器UART/SPI

梨子带你刷burpsuite靶场系列之服务器端漏洞篇 - 服务端请求伪造(SSRF)专题 - 安全客,安全资讯平台

robots 本系列介绍 PortSwigger是信息安全从业者必备工具burpsuite的发行商,作为网络空间安全的领导者,他们为信息安全初学者提供了一个在线的网络安全学院(也称练兵场),在讲解相关漏洞的同时还配套了相关的在线靶场供初学者

Tomcat渗透测试方法总结 - FreeBuf网络安全行业门户

前言 Tomcat服务器是一个免费的开放源代码的web应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP程序的首选。可以这样认为,当在一台机器上配置好 Apache服务器,可利用它响应

滴滴之后,Uber陷入数据安全风波 - FreeBuf网络安全行业门户

滴滴之后,Uber再度陷入数据安全风波。 网安的舆论漩涡的中心依旧是数据安全,这一点从近期种种合规行动中可见一斑。其中,出行行业由于其涉及庞大的用户数据、地图数据,成为数据安全的又一焦点聚集地。 回到今天的主主角,Uber。由于一件数据泄露

议题征集 | 「成都网络安全大会」金融分论坛,等你show - FreeBuf网络安全行业门户

2021 CCS成都网络安全大会(以下简称:CCS大会)将于8月26日至27日在成都举办。此次大会由成都市互联网信息办公室、成都高新区管委会联合主办,成都无糖信息技术有限公司承办;斗象科技与无糖信息达成战略合作,承办CSS大会的金融安全分论

议题征集 | 「成都网络安全大会」金融分论坛,等你show - FreeBuf网络安全行业门户

2021 CCS成都网络安全大会(以下简称:CCS大会)将于8月26日至27日在成都举办。此次大会由成都市互联网信息办公室、成都高新区管委会联合主办,成都无糖信息技术有限公司承办;斗象科技与无糖信息达成战略合作,承办CSS大会的金融安全分论

360CERT - 每日安全简报 (2021-07-27)

We are greeting further cooperation with all parts of security services. If you are interested or have other technical q