注入防护绕过

[HPflower]

https://bbs.kafan.cn/thread-2262632-1-1.html

这个帖子中的样本执行了远程线程注入，但是Idefender的防护没有应答。已手动将安全加固中的“禁止创建远程线程（远程注入）”防护点打开

IDefender版本：3.3.1.0

[wecooperate]

冰盾目前只支持远程线程方式的注入拦截，这个样本是通过映射内存的方式达到远程注入的目的的。 后续版本看针对这种场景能不能添加拦截支持。

[wecooperate]

这个样本还比较猥琐，一些拦截没法在驱动拦截，只能通过应用层注入拦防护，但是这个样本已经实现了对抗。这个样本先是加载一个无效的dll，然后修改dll内容成自己的恶意代码，再通过directsyscall映射ntdll，然后再通过这个ntdll去操作。应用层的防护基本是无效的。 不过还是可以通过拦截dual-load-ntdll来拦截他加载ntdll，但是如果他把所有调用都换成directsyscall就比较难了。（除非未来添加VT支持，使用虚拟化hook来防护。目前只能通过进程行为来拦截了，而不去信任任何进程。即使这个样本使用了傀儡进程，但是拦截了傀儡进程的恶意操作，也是可以达到保护的目的。）

[wecooperate]

3.5.0 版本发布，支持了更多注入方式的拦截。 针对上面这个病毒，在安全加固里面添加了“禁止重复加载NTDLL”的加固规则。