内存驻留无痕传输(Memory-Resident Transfer)是一种完全规避磁盘写入操作的隐蔽传输技术。攻击者通过进程注入、远程线程创建等方式,将工具直接加载到目标系统的内存空间中,利用合法进程(如explorer.exe、svchost.exe)的内存区域完成工具代码的传输与执行。该技术通过消除文件落地环节,有效规避传统基于文件监控的检测手段。
该技术的匿迹性源于对操作系统内存管理机制的深度利用。攻击者首先建立合法的远程管理会话(如PSRemoting、WMI),通过反射加载(Reflective Loading)技术将工具DLL直接注入到目标进程内存,避免生成磁盘文件。传输过程中采用分块传输与即时解密机制,每个内存块均使用独立密钥加密,并在加载后立即擦除解密密钥。同时,利用进程 Hollowing 技术创建"克隆"合法进程,将恶意代码映射到进程内存的未使用区域,维持内存结构合法性。该技术使得传统基于文件审计或注册表监控的防御体系完全失效,必须依赖内存取证或异常进程行为分析进行检测。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon