关于FalconEyeFalconEye是一款强大的Windows终端安全检测工具,可以帮助研究人员实时检测Windows进程注入。FalconEye也是一个内核模式驱动工具,旨在实现实时进程注入行为。由于FalconEye需要在内核模式下运行,因此它可以针对试图绕过各种用户模式挂钩的进程注入技术提供强大而可靠的安全防御。工具架构FalconEye驱动程序是一个按需驱动程序;初始化包括通过libinfinityhook设置回调和系统调用挂钩;回调维护从跨进程活动构建的Pid映射,例如OpenProcess,但不限于OpenProcess;随后的回调和系统调用Hooks使用这个Pid映射来减少处理中的噪音;作为降噪的一部分,系统调用挂钩可以过滤掉相同的进程活动;检测逻辑分为多个子类,即stateless(eg:Atombombing)、stateful(Unmap+Overwrite)和floatingcode(多种技术实现的Shellcode);对于状态检测,syscallhook会记录一个ActionHistory(历史活动),例如,它会记录所有的NtWriteVirtualMemory调用;检测逻辑具有常见的异常检测功能,如浮动代码检测、远程进程中的Shellcode触发器检测等。回调和系统调用挂钩都调用这个公共函数来进行实际检测;值得注意的是,我们的重点一直放在检测任务本身,而不是创建高性能检测引擎。项目目录结构├──src│├──FalconEye------------------------#FalconEyeu??serandkernelspace│└──libinfinityhook---------------------#Kernelhookimplementation├──2021BHASIA_FalconEye.pdf└──README.md工具需要Windows10Build1903/1909MicrosoftVisualStudio2019VmWare,Hyper-V,等虚拟化软件工具安装(1)工程搭建使用MicrosoftVisualStudio2019打开解决方案;选择x64作为构建平台;buildthesolution,然后会在“src\kernel\FalconEye\x64\Debug”或者“src\kernel\FalconEye\x64\Release”路径下生成sys源码;(2)测试设备部署在虚拟机中,安装Windows10Build1903/1909;配置虚拟机以测试未签名的驱动程序,使用bcdedit并禁用完整性检测:BCDEDIT/setnointegritychecksON在虚拟机中运行DbgView,或使用WinDbg打开调试连接;工具使用我们需要将sys文件复制到测试设备(Windows10虚拟机);使用OSR加载器或类似工具以加载驱动的形式“按需”加载sys;运行注入测试工具,如pinjectra或minjector;通过WinDbg或DbgView监控调试日志;项目地址FalconEye:[GitHub传送门]
