Memhunter - Живая охота за методами внедрения кода

[victor_smotra]

​

Memhunter - это инструмент датчика конечных точек, который специализируется на обнаружении резидентных вредоносных программ, улучшении процесса анализа системы поиска угроз и времени исправления. Инструмент обнаруживает резидентные в памяти вредоносные программы, живущие в процессах конечных точек, и сообщает о них. Memhunter обнаруживает известные методы внедрения вредоносных программ в память. Процесс обнаружения выполняется посредством анализа в реальном времени и без необходимости создания дампов памяти. Этот инструмент был разработан как замена плагинов для криминалистической волатильности памяти, таких как malfind и hollowfind. Идея не требовать дампов памяти помогает выполнять масштабный поиск угроз вредоносных программ, находящихся в памяти, без ручного анализа и без сложной инфраструктуры, необходимой для перемещения дампов в криминалистические среды.

Процесс обнаружения выполняется с помощью комбинации сканеров сбора данных конечных точек и проверки памяти. Инструмент представляет собой автономный двоичный файл, который после выполнения развертывается как служба Windows. После запуска в качестве службы memhunter запускает сбор событий ETW, которые могут указывать на атаки путем внедрения кода. Прямой поток событий собранных данных подается в сканеры проверки памяти, которые используют эвристику обнаружения для выбора потенциальных атак. Весь процесс обнаружения не требует вмешательства человека, дампов памяти и может выполняться самим инструментом в любом масштабе.

Помимо сбора данных и эвристики поиска, проект также привел к созданию сопутствующего инструмента под названием «minjector», который содержит +15 техник внедрения кода. Инструмент minjector может использоваться не только для обнаружения memhunter, но и как универсальное средство для изучения широко известных методов внедрения кода.

СКАЧАТЬ С GITHUB.COM​

 

[Lara Croft]

этот метод только на ПК работает?