RunPE 方法
这个“RunPE”术语指出了一种方法,这个方法是通过替换掉进程空间的代码从而在目标进程中运行我们想要运行的代码。和代码注入不同的是,在代码注入中你是在远程进程开辟的空间中执行代码;但是在RunPE这个技术中,你使用你想要执行的代码替换掉了远程进程的代码。
下面是一个小的例子,说明这个方法是如何隐藏恶意代码的。
想象一下,恶意代码被加壳或者加密了,被插入到一个专门加载它的二进制代码中。当加载器执行,它将执行:
在一个可疑的环境下使用CreateProcess打开一个合法的系统进程(例如:cmd.exe或者calc.exe)。
取消映射(Unmap)进程(使用NtUnmapViewOfSection)
使用恶意代码替换掉这个进程(使用WriteProcessMemory)
一旦进程被Resume(使用ResumeThread),恶意软件就会被替代进程执行
注意:当进程被DEP保护的时候,替换一个进程的内存不是很有可能的,参考:
http://windows.microsoft.com/en-gb/windows-vista/what-is-data-execution-prevention
无论如何,在这种情况下,在另一个进程中使用RunPE,加载器能够调用其另外一个实例,并在其内存运行恶意代码。由于被修改的代码是被攻击者编写的,这个方法将总是有效(加载器应该在编译选项没有使用DEP的情况下编译,这个需要在这个测试中支持)。