關(guān)于FalconEye

FalconEye是一款功能強(qiáng)大的Windows終端安全檢測工具，可以幫助廣大研究人員實時檢測Windows進(jìn)程注入行為。FalconEye也是一個內(nèi)核模式驅(qū)動工具，旨在實現(xiàn)實時的進(jìn)程注入行為。由于FalconEye需要以內(nèi)核模式運行，它可以提供一個強(qiáng)大可靠的安全防御機(jī)制來抵御那些嘗試?yán)@過各種用戶模式鉤子的進(jìn)程注入技術(shù)。

工具架構(gòu)

• FalconEye驅(qū)動器是一種按需加載的驅(qū)動程序;
• 初始化包括通過libinfinityhook設(shè)置回調(diào)和syscall鉤子;
• 回調(diào)維護(hù)從跨流程活動(如OpenProcess)構(gòu)建的Pids的映射，但不限于OpenProcess;
• 隨后的回調(diào)和syscall鉤子使用這個Pid映射來減少處理中的噪聲;
• 作為降噪的一部分，syscall鉤子可以過濾掉相同的進(jìn)程活動;
• 檢測邏輯分為多種子類，即無狀態(tài)(例如：Atombombing)、有狀態(tài)(Unmap+Overwrite)和浮動代碼(多種技術(shù)實現(xiàn)的Shellcode);
• 針對有狀態(tài)的檢測，syscall鉤子會記錄一個ActionHistory(歷史活動)，比如說，它會記錄所有的NtWriteVirtualMemory調(diào)用;
• 檢測邏輯具有常見的異常檢測功能，如浮動代碼檢測和遠(yuǎn)程進(jìn)程中Shellcode觸發(fā)器的檢測。回調(diào)和syscall鉤子都會調(diào)用這個公共功能來進(jìn)行實際檢測;

需要注意的是，我們的重點一直是檢測任務(wù)本身，而不是創(chuàng)建一個高性能的檢測引擎。

項目目錄結(jié)構(gòu)

. 
 
├── src 
 
│   ├── FalconEye ---------------------------# FalconEye user and kernel space 
 
│   └── libinfinityhook ---------------------# Kernel hook implementation 
 
├── 2021BHASIA_FalconEye.pdf 
 
└── README.md 

工具要求

• Windows 10 Build 1903/1909
• Microsoft Visual Studio 2019
• VmWare、Hyper-V等虛擬化軟件

工具安裝

(1) 項目構(gòu)建

• 使用Microsoft Visual Studio 2019打開解決方案;
• 選擇x64作為構(gòu)建平臺;
• 構(gòu)建解決方案，此時將在“src\kernel\FalconEye\x64\Debug”或“src\kernel\FalconEye\x64\Release”路徑下生成sys源碼;

(2) 測試設(shè)備部署

在虛擬機(jī)中安裝好Windows 10 Build 1903/1909;

配置虛擬機(jī)以測試未簽名的驅(qū)動程序，使用bcdedit，禁用完整性檢測：

BCDEDIT /set nointegritychecks ON 

在虛擬機(jī)中運行DbgView，或使用WinDbg開啟一個調(diào)試連接;

工具使用

• 我們需要將sys文件拷貝到測試設(shè)備(Windows 10虛擬機(jī))中;
• 使用OSR加載器或類似的工具，以“按需”加載驅(qū)動器的形式加載sys;
• 運行類似pinjectra或minjector之類的注入測試工具;
• 通過WinDbg或DbgView監(jiān)控調(diào)試日志;

項目地址

FalconEye：【GitHub傳送門】