内存驻留规避扫描(Memory-Resident Evasion Scanning)是一种通过完全驻留内存执行进程发现操作的技术。该技术利用无文件攻击原理,将进程枚举代码注入到合法进程的内存空间中运行,避免在磁盘留下可检测的恶意文件。通过调用系统原生API(如Windows的NtQuerySystemInformation或Linux的/proc虚拟文件系统接口),直接从内存中提取进程列表及详细信息,同时采用动态内存擦除机制,确保每次操作后清除内存痕迹。该技术有效规避了传统基于磁盘特征扫描和进程创建日志的检测手段。
该技术的匿迹性体现在三个层面:首先,通过内存驻留技术完全规避磁盘I/O操作,使得基于文件监控的防御机制无法捕获攻击载荷;其次,利用系统合法进程作为执行载体(如注入explorer.exe或svchost.exe),使进程发现行为在系统监控中呈现为正常进程的合法操作;最后,采用API调用链混淆技术,将敏感的进程查询函数调用嵌套在多层合法系统操作中,例如在PowerShell脚本中混合进程发现指令与常规系统管理命令。攻击者还会通过HOOK系统日志函数,过滤或篡改事件日志中与进程枚举相关的记录条目,实现操作痕迹的动态消除。这种技术将进程发现行为深度嵌入系统正常运作流程,形成"无载体、无日志、无独立进程"的三无特征。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon