最新的漏洞修补手段是模块篡改防护

如何保障模块不被恶意更改？

模块篡改保护是一种缓解措施，可防止对进程主影像的早期修改，例如 IAT 挂钩或进程空心化。它一共使用了三个 API：NtQueryVirtualMemory、NtQueryInformationProcess 和 NtMapViewOfSection。

不出所料，最详细的解释是 Alex Ionescu 2017 年发布的一条推文。这虽然并不是完整的文档，但它是一个开始。如果你已经了解并理解构成此缓解措施的概念，那么这一系列的推文最终结果可能通过时间会非常清楚可靠的地流程图解释有关该传感器特性的所有必不可少的内容。

开始搜索进程缓解实现的第一个地方通常是内核：ntoskrnl.exe。然而，这是一个巨大的二进制文件，不容易搜索。似乎没有与此缓解措施完全相关的函数名称，所以没有明显的地方可以开示。

这会很慢，因为它是一个很大的二进制文件，并且一些结果与 EPROCESS 结构无关，因此你必须手动搜索结果。此外，仅查找对该字段的引用是不够的，MitigationFlags 包含 32 位，其中只有两个与当前上下文相关。所以，你必须搜索所有的结果，找出以下情况：

0x9D0被用作EPROCESS结构的偏移量——因为无法保证知道每种情况使用的结构类型，尽管对于较大的偏移量，只有少数选项可以是相关的，它主要可以通过函数名称和上下文来猜测。当然，这些方法都是基于一些简单的公式，并不能准确预测结构的变化，所以我们需要在实际工作中不断摸索，才能发现更多的规律。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!