在数字化转型浪潮中,终端设备已成为企业网络安全防线中最为关键却又最易受攻击的环节。随着企业IT架构的云化、移动化和边缘化发展,终端设备的数量和种类呈现爆炸式增长,安全边界不断模糊。与此同时,传统的恶意软件攻击正逐渐演变为更加隐蔽、复杂的高级威胁形态,其中以无文件攻击和内存Shellcode注入为代表的创新攻击技术,正在彻底重塑终端安全防护的格局。
根据Gartner最新研究报告显示,2024年全球检测到的无文件攻击事件同比增长达67%,已成为企业面临的最主要终端威胁之一。这些新型攻击手段完全颠覆了基于文件特征检测的传统安全理念,使得依赖静态特征码检测的传统杀毒软件(AV)在防护效果上捉襟见肘。
更新总结:
勒索病毒是一种通过加密被感染者计算机上面的文件,并施于敲诈勒索的恶意程序。
勒索病毒会导致严重的数据安全问题,让企业、个人的核心数据资产被完全加密,从而影响正常的生产、或者让一些业务系统完全不可用,间接造成了严重的经济损失。2017年,勒索病毒借助永恒之蓝漏洞,席卷全球,造成全球超过550亿元以上的损失,让无数企业闻风丧胆。
很多程序,基本都不是仅仅程序本身就可以直接运行,经常会依赖到其他的动态库(Dynamic Link Library)。比如最基本的ntdll.dll、kernel32.dll。
程序对动态库的依赖分为两种:
静态依赖
一般程序在编译的时候会依赖一个lib,编译后在程序的导入表就会生成相应的依赖信息
动态加载
指通过LoadLibrary、LdrLoadDll的方式进行手动加载动态库的方式
上次介绍了DLL挟持原理、分析、应用(/resource/dll-hijack) 很多网友反馈说希望提供快速生成挟持模块的工具,这里详细介绍一些挟持模块的生成过程。