无文件恶意软件

Q: 无文件恶意软件 是什么?

主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。 它属于网络安全的 恶意软件 分类。

Q: 如何防御 无文件恶意软件?

针对 无文件恶意软件 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

无文件恶意软件是什么?

无文件恶意软件主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。

无文件恶意软件通过驻留在内存中并滥用 PowerShell、WMI、.NET、WSH 与 Windows 注册表等合法组件,大幅减小磁盘痕迹,这种手法常被称为"就地取材"(LOLBins)。初始代码可能通过钓鱼文档、漏洞利用或内存型 loader 传入,再以反射方式加载后续阶段,完全不落盘。由于基于签名的杀软几乎没有可扫描的载荷文件,这类攻击更难检测。防御措施包括开启 PowerShell 脚本块与命令行日志、启用 AMSI、使用具备行为与内存检测能力的 EDR,以及通过 Constrained Language Mode 和 WDAC 限制并签名 PowerShell。

● 示例

01
通过反射方式加载到内存的 Cobalt Strike Beacon PowerShell 载荷。
02
将加密载荷存放在 Windows 注册表中的无文件恶意软件 POWELIKS。

● 常见问题

无文件恶意软件是什么?

主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。它属于网络安全的恶意软件分类。

无文件恶意软件是什么意思?

主要在内存中运行、利用受信任的系统工具,尽量避免在磁盘上留下传统可执行文件的恶意软件。

如何防御无文件恶意软件?

针对无文件恶意软件的防御通常结合技术控制与运营实践,详见上方完整定义。

无文件恶意软件还有哪些其他名称?

常见的别称包括: 内存驻留型恶意软件, 就地取材型恶意软件。

无文件恶意软件

无文件恶意软件是什么?

● 示例

● 常见问题

● 相关术语

● 另见

无文件恶意软件 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

无文件恶意软件是什么?