内存马的特点
来源:动视网
责编:小OO
时间:2024-08-15 01:23:33
内存马的特点
1、内存马无逻辑结构边界,难以被发现。内存马仅存在于进程的内存空间中,通常与正常的/合法的代码、数据混淆。内存马与传统恶意代码的不同之处在于它没有磁盘文件,会导致传统的检测防护手段失效。2、内存马缺乏稳定的静态特征,难以被识别。内存马缺乏结构化的静态形式,它依附在进程运行期间的输入数据进入进程,数据被加密混淆,因此,无法通过特征识别内存马。3、内存马种类多,检测机制复杂而多样。内存马有二进制代码片段(Shellcode)、PowerShelll脚本、Web中间件等类型,每种类型又可细分,不同类型内存马的执行方式、恶意代码/行为触发机制各不相同。内存马是无文件马,利用中间件的进程执行某些恶意代码,不会有文件落地,对于严防死守的防线是一个新的突破。
导读1、内存马无逻辑结构边界,难以被发现。内存马仅存在于进程的内存空间中,通常与正常的/合法的代码、数据混淆。内存马与传统恶意代码的不同之处在于它没有磁盘文件,会导致传统的检测防护手段失效。2、内存马缺乏稳定的静态特征,难以被识别。内存马缺乏结构化的静态形式,它依附在进程运行期间的输入数据进入进程,数据被加密混淆,因此,无法通过特征识别内存马。3、内存马种类多,检测机制复杂而多样。内存马有二进制代码片段(Shellcode)、PowerShelll脚本、Web中间件等类型,每种类型又可细分,不同类型内存马的执行方式、恶意代码/行为触发机制各不相同。内存马是无文件马,利用中间件的进程执行某些恶意代码,不会有文件落地,对于严防死守的防线是一个新的突破。
内存马无逻辑结构边界,内存马缺乏稳定的静态特征,内存马种类多。
1、内存马无逻辑结构边界,难以被发现。内存马仅存在于进程的内存空间中,通常与正常的/合法的代码、数据混淆。内存马与传统恶意代码的不同之处在于它没有磁盘文件,会导致传统的检测防护手段失效。
2、内存马缺乏稳定的静态特征,难以被识别。内存马缺乏结构化的静态形式,它依附在进程运行期间的输入数据进入进程,数据被加密混淆,因此,无法通过特征识别内存马。
3、内存马种类多,检测机制复杂而多样。内存马有二进制代码片段(Shellcode)、PowerShelll脚本、Web中间件等类型,每种类型又可细分,不同类型内存马的执行方式、恶意代码/行为触发机制各不相同。内存马是无文件马,利用中间件的进程执行某些恶意代码,不会有文件落地,对于严防死守的防线是一个新的突破。
内存马的特点
1、内存马无逻辑结构边界,难以被发现。内存马仅存在于进程的内存空间中,通常与正常的/合法的代码、数据混淆。内存马与传统恶意代码的不同之处在于它没有磁盘文件,会导致传统的检测防护手段失效。2、内存马缺乏稳定的静态特征,难以被识别。内存马缺乏结构化的静态形式,它依附在进程运行期间的输入数据进入进程,数据被加密混淆,因此,无法通过特征识别内存马。3、内存马种类多,检测机制复杂而多样。内存马有二进制代码片段(Shellcode)、PowerShelll脚本、Web中间件等类型,每种类型又可细分,不同类型内存马的执行方式、恶意代码/行为触发机制各不相同。内存马是无文件马,利用中间件的进程执行某些恶意代码,不会有文件落地,对于严防死守的防线是一个新的突破。
