Process Hollowing
مصطلح يثير الرعب عند قرائته لاول مره وقد يثير اللحسه عند المحاوله الاوله لفهمه ولكنه ببساطه هو تكنيك يُستخدم لحقن كود خبيث داخل بروسس طيبه وحبوبه كما تبدو في عيون المستخدم البسيط
مصطلح يثير الرعب عند قرائته لاول مره وقد يثير اللحسه عند المحاوله الاوله لفهمه ولكنه ببساطه هو تكنيك يُستخدم لحقن كود خبيث داخل بروسس طيبه وحبوبه كما تبدو في عيون المستخدم البسيط
يستخدمه كتّاب الاكواد الخبيثه ( malware authors ) عادةً لاخفاء كودهم الخبيث داخل بروسس لبرنامج عادي مثل الرسام او explorer الخ
طيب كيف تصير هذي العمليه ؟
طيب كيف تصير هذي العمليه ؟
بالبداية، البروسس هولوينق يتم من خلال الخطوات التاليه :
١- البرنامج الخبيث ( الحاقن ) يسوي بروسس باسم برنامج طيّب ( طبيعي ) ولكن يخلي البروسس بحالة ال suspended عشان يحقن فيه الكود الخبيث
١- البرنامج الخبيث ( الحاقن ) يسوي بروسس باسم برنامج طيّب ( طبيعي ) ولكن يخلي البروسس بحالة ال suspended عشان يحقن فيه الكود الخبيث
٢- بعد ما تجهز الميموري المساحة الكافيه للبروسس الطبيعيه وتحط فيه بيانات البرنامج الطيّب ( الطبيعي ) يروح البرنامج الخبيث ( الحاقن ) بتفريغ محتوى البروسس
٣- وهنا يحقن البرنامج الخبيث ( الحاقن ) البرنامج الطيّب بكوده الخبيث الي يسوي عاد بدوره ما يريده كاتب المالوير
٤- اما الحين جاء دور التشغيل، فف يروح البرنامج الخبيث ( الحاقن ) ويغير حالة البروسس من suspended الى running
٤- اما الحين جاء دور التشغيل، فف يروح البرنامج الخبيث ( الحاقن ) ويغير حالة البروسس من suspended الى running
وبكذا يصير يطلع لليوزر العادي بالـ Task Manger ان البرنامج المحقون ( الطيّب ) هو الي يشتغل ولكن بالحقيقه الكود الخبيث هو الي قاعد يشتغل ..
يعني بالصور ادناه كان هدفنا اننا نحقن بروسس برنامج الحاسبه بب Notepad++
وهنا حسيت بالفله شوي وقمت اغير البرامج، جربت على explorer شوف الفرق بين الطبيعي والي محقون بب Notepad++
المصادر؛
- @eLearnSecurity MAP Course
- وهنا شرح اسطورتي لنفس الموضوع @THE_BOSSz
youtu.be
- بهاراتي الخاصه 👨🏻🍳
- @eLearnSecurity MAP Course
- وهنا شرح اسطورتي لنفس الموضوع @THE_BOSSz
youtu.be
- بهاراتي الخاصه 👨🏻🍳
جاري تحميل الاقتراحات...