关于FalconEye
FalconEye是一款功能强大的Windows终端安全检测工具,旨在帮助研究人员实时监测Windows进程注入行为。作为一款内核模式驱动工具,FalconEye能够在内核级别运行,从而提供一个坚固可靠的安全防御机制,有效抵御那些试图绕过用户模式钩子的进程注入技术。
工具架构
值得注意的是,我们的重点始终是检测任务本身,而不是开发一个高性能的检测引擎。
项目目录结构
代码语言:javascript代码运行次数:0
运行复制“`javascript.├── src│ ├── FalconEye —————————# FalconEye用户和内核空间│ └── libinfinityhook ———————# 内核钩子实现├── 2021BHASIA_FalconEye.pdf└── README.md“`
工具要求
工具安装
项目构建
测试设备部署
在虚拟机中安装Windows 10 Build 1903/1909;
配置虚拟机以测试未签名的驱动程序,使用bcdedit,禁用完整性检测:
代码语言:javascript代码运行次数:0
运行复制“`javascriptBCDEDIT /set nointegritychecks ON“`
在虚拟机中运行DbgView,或使用WinDbg开启一个调试连接;
工具使用
我们需要将sys文件复制到测试设备(Windows 10虚拟机)中;
使用OSR加载器或类似的工具,以“按需”加载驱动器的形式加载sys;
运行类似pinjectra或minjector之类的注入测试工具;
通过WinDbg或DbgView监控调试日志;
项目地址
FalconEye:【点击底部阅读原文获取】
以上就是如何使用FalconEye实时检测Windows进程注入行为的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/48722.html
微信扫一扫 
支付宝扫一扫 
