Process Hollwing 內核怎么檢測

• 檢測父進程與子進程的進程鏈(父子進程鏈)

對于父子進程，在程序運行時首先進入的是父進程，其次是子進程。例如，有兩個可疑的Lsass.exe進程， 但是這兩個進程的父進程并不是winlogo- exe(在Vista系統前的系統)或winitit exe(在Vista系統以及后的系統)。

• 比較PEB結構和VAD結構

PEB結構一般位于該進程的內存中，這結構中保存著進程的磁盤絕對路徑，以及內存加載的基質。

VAD結構則是位于內核中的內存中，包含著進程連續虛擬內存空間的分配信息，如果進程加載了可執行文件，則節點中會記錄有關可執行文件的起始地址、結束地址以及完整的路徑信息。

• 檢測可疑的內存保護屬性

一般的惡意軟件都會將要Process Hollwing的程序的內存保護屬性設為可讀寫執行。任何可執行文件正常加載到內存后都會擁有PAG EXECUTE WRITECOPY的內存保護屬性。

回答所涉及的環境：聯想天逸510S、Windows 10。