Linux / Unix / MacOSでのWindowsプロセスの空洞化に相当
Windowsでプロセスの空洞化を要約すると、基本的には、正規のPEバイナリ(通常はexe)を使用してプロセスを中断状態で開始し、その後プロセスメモリを悪意のある/その他のバイナリのコードとデータで置き換え、プロセスを再開します。 。環境に関する限り、元の正当なバイナリが実行されています。
このトピックには多くの情報がありますが、すべてWindows OSに関連しています。この問題は他のオペレーティングシステムでどのように発生する可能性がありますか(たとえば、Linuxでのシステムコールのシーケンスはそのような動作を示しますか?)。
ありがとう!
『Art of Memory Forensics』という本は、第25章でLinuxベースのプロセスの空洞化について説明しています。モジュールはこちらからご覧いただけます https://github.com/volatilityfoundation/volatility/blob/master/volatility/plugins /linux/process_hollow.py
彼らのテクニックはメイン関数を見て、メモリ内のものとディスク上のものを比較します。 Windowsの場合、processhacker(またはプロセスエクスプローラー)を使用して、バイナリの文字列を、メモリに読み込まれた置き換えられたプロセスと比較できます。同じテクニックのセットです。
変更されるシステムコールは不明ですが、Linuxカーネル、ディストリビューション、ユーザーランドによって異なる場合があります。 Sysdig Falco を使用して、おそらくプロセスの空洞化や共有ライブラリインジェクションなどのLinuxマルウェアに関する特性を特定できます。