Kamil Frankowicz: Techniki wstrzykiwania kodu do procesów Windows
![Programista 12/2017 (67) styczeń/luty [okładka]](https://programistamag.pl/wp-content/uploads/magazines/covers/67.jpg)
Umieszczanie złośliwego kodu w nieszkodliwych procesach jest szeroko wykorzystywaną funkcjonalnością złośliwego oprogramowania w celu obchodzenia systemów AV/HIPS. Pierwsze techniki tego typu pojawiły się ponad 15 lat temu i „z marszu” zdobyły uznanie wśród osób skupionych wokół tematyki tworzenia malware’u. Przez ostatnie dwa lata pojawiły się dwie nowe techniki, wykorzystujące zapomniane mechanizmy Windows, które pozwalają na uruchomienie kodu tylko z pamięci operacyjnej. Umieszczenie pliku wykonywalnego w systemie plików ofiary nie jest wymagane – jest to tzw. „fileless malware”1. Nietrudno się domyślić, że wszystkie mechanizmy heurystyczne silników antywirusowych nie miały żadnych szans w starciu z nimi. W tym artykule omówię najpopularniejsze oraz najnowsze mechanizmy służące do ukrywania kodu pośród nieszkodliwych procesów wraz z przykładowymi implementacjami.