白文件动态内存注入(Legitimate File Dynamic Memory Injection)是一种通过合法进程内存空间执行恶意代码的高级劫持技术。攻击者选择具有数字签名或高信誉的应用程序作为宿主进程,利用进程漏洞或内存操作API将恶意负载注入其运行时的内存空间,通过劫持线程上下文或函数指针重定向执行流。该技术不修改磁盘文件完整性,完全在内存中完成代码植入,规避了传统文件完整性校验机制,同时利用宿主进程的合法身份隐藏恶意行为。
该技术的匿迹性体现在执行环境虚拟化与行为特征融合两个维度。首先通过选择具备持续运行特性的系统进程(如svchost.exe、explorer.exe)作为载体,使恶意代码的执行环境与正常系统活动完全重合。其次采用内存反射加载技术,在注入过程中动态解析PE结构并重建导入表,消除传统进程注入产生的非常规内存区域特征。技术实现时需解决内存地址随机化(ASLR)对抗问题,通常结合内存特征扫描定位目标函数偏移量,或利用进程内部存在的可预测内存地址漏洞。恶意代码执行过程中通过宿主进程的合法网络连接进行通信,并复用其文件操作句柄实施持久化,使得进程行为画像仍符合基线模型。防御方难以通过进程树分析、文件哈希校验或网络连接白名单机制检测异常。
This type of attack technique cannot be easily mitigated with preventive controls since it is based on the abuse of system features.
Coming soon