为了让除了时期行家除外的东谈主员汉服 足交，更好地剖析什么是无文献挫折，我将先为全球作念一个浮浅的整理。这有助于全球在接下来的内容中更剖析澈底剖析无文献挫折的想法和影响。若是你对时期细节感趣味，连接读下去会让你对这个话题有更深切的筹备。天然您若是嗅觉细节败兴，思要最终谜底，不错拉到扫尾，我为您整理了5条。

根据我处理垂危反应的教诲，大广宽与客户筹商的首要事件皆波及无文献坏心软件，它是一种从内存或剧本（如 PowerShell、WScript 和 Python）而不是传统可实行文献起原的坏心软件。无文献坏心软件已成为禁绝行动者的首选挫折序言，但它真的是“无文献”吗？

咱们不要误解——我剖析东谈主们使用“无文献”一词的真理：坏心代码自己并不驻留在土产货硬盘上的文献中。但是，“无文献”一词可能会误导生人东谈主，因为要执久保存和实行，驱动器上必须有一些东西

是的，挫折者不错部署具有打扰性影响的代码而不会在端点磁盘上留住任何踪迹，这是毫无疑问的。但是，“无文献”一词可能给东谈主的印象是根柢莫得文献参与，但事实并非如斯。剖析这小数至关关键，因为它使咱们概况为此类坏心软件制定允洽的保护、检测策略和反应。此外，它使咱们概况应用 DFIR（数字取证和事件反应）妙技来发现挫折者如何应用各式时期来惊羡“文献。

那么无文献挫折真的无文献吗？咱们耐烦崇拜往下读。

当今，不要诬蔑我的真理……我自满那些使用这个术语的东谈主思要抒发的真理；也等于说，骨子的坏心软件自己，即坏心代码，并不存在于土产货硬盘上的文献中。但是，关于生人来说，“无文献”一词的使用具有误导性，因为为了使事情发生并使坏心软件执续存在，驱动器上的某个文献中必须有一些东西。不然，有什么真理呢？

是的，禁绝行动者不错发布具有打扰性致使横祸性影响的代码，而无需在端点上驻留。这是毫无疑问的。

但是，“无文献”一词可能对不老到的读者来说意味着文献根柢莫得被使用，而事实并非如斯。剖析这小数很关键，因为这使咱们概况为此类坏心软件制定允洽的保护、检测和反应。剖析这小数还意味着咱们不错应用 DFIR（是数字取证和事件反应的缩写，是指数字取证(Digital Forensics)和事件反应(Incident Response)两个领域的聚集） 妙技集来了解更多筹商禁绝行动者应用各式时期“保执无文献”的信息。

1. 未必，咱们对坏心软件的描摹是失误的。“DarkWatchman （是一种基于 JavaScript 的新式辛苦造访木马 (RAT)，并通过积极的社会工程行径进行传播。该坏心软件汲取特定的“无文献”时期来藏匿检测和分析。）的各个部分，包括成立字符串和键盘记载器自己汉服 足交，皆存储在注册表中，以幸免写入磁盘”。

2. 注册表位于磁盘上，从最基本的角度来说，它是一个文献。尽管注册表汲取二进制（而非 ASCII）口头，况且不错被视为“文献中的文献系统”，但这并不虞味着在注册表中存储其成立和/或执久性的东西莫得使用文献。

3. 执久性是通过瞎想任求收场的，该瞎想任务既包含在注册表（文献）中，也包含在 XML 文献中。即使使用各式时期荫藏瞎想任务 XML 文献，仍然意味着坏心软件的成立和援用存储在文献中。

4.其实不错，咱们剖析将“无文献”坏心软件描摹为“从内存或剧本起原。即使是这个界说也可能令东谈主困惑，因为剧本是磁盘上的文献。 其意图是说该剧本不是果真的坏心软件自己，而是从系统外下载果真的坏心软件，然后在内存中起原，这么理思情况下，坏心代码就不会构兵磁盘。是的，我自满了……但这仍然具有误导性，若是莫得允洽的审查，东谈主们会以为这种坏心软件相配难以检测和应答，致使不成能，女同除非使用一套相配具体的器用。

5. 无文献坏心软件“比传统坏心软件更难检测，因为它悉数依赖于内存”。在使命中，我检测到了好多和其他无文献坏心软件，而不需要扫描内存。

6. 无文献坏心软件“主管受信任应用才略的敕令行……允许坏心行径与时时的授权操作混在沿路……”；我不明晰这是什么真理，也不解白它是如何让无文献坏心软件更难被发现的。事实上，根据我的教诲，情况偶合相背……若是你正在监控一个具有允洽可见性的组织，那么已知精采应用才略的修改后的敕令行应该相配彰着。

7. 需要辩论的另一件事是，并非悉数组织皆按时使用 LOLBins（LOLBins是一种无文献坏心软件或 LOLbins收集挫折时期。收集违警使用受害东谈主系统中的本机正当器用来看护和推紧要击）。我见过一些组织根柢不使用 curl.exe 或 certutil.exe（certutil.exe是一个正当Windows文献，用于治理Windows文凭的才略）。我曾与一些客户合营过，他们根据战略不使用“收集用户”来创建和治理用户帐户。因此，这些 LotL 时期的使用不会保执荫藏，终点是若是你在寻找的话。它们保执荫藏的款式是，若是你莫得使用某种程度的可见性，通过启用“程度追踪”以及齐备的敕令行、Sysmon、EDR 或某种口头的 AV（如 Windows Defender）。

8. 禁绝行动者使用 LotL 时期（也称为 LOLBins 或LOLBAS）来保执掩蔽性并尽量减少其在受感染基础措施中的影响。但是，这可能有点误导，禁绝行动者更心爱 LotL 时期，因为使用这些时期会“穷乏 IoC”（IOS也被称为失陷办法，频繁用于取证捕快场景，指的是收集挫折或安全缝隙导致的主机受损的笔据，比如坏心文献哈希值，坏心软件的特征，坏心的IP地址、URL、域名等被迫识别的信标），但事实并非如斯，事实上，使用msiexec.exe（msiexec.exe程度是属于系统程度。它是适用于装置Windows Installer装置包）等本机实用才略骨子上会产生荒谬多的 IoC，这些 IoC 对济急反应者和捕快东谈主员相配有价值。这仅仅操作系统的使命款式，莫得任何独特的 EDR 或近似 EDR 的功能。

9. 有东谈主称某些东西为“无文献”，而它是否真的是无文献并不关键，不是吗？坚执使用“无文献”一词常常意味着对坏心软件能作念的事情相配有限。这意味着坏心软件只存在于内存中，因此检测、反应和分析坏心软件的选项极其有限。 但是，事实并非如斯。坏心软件要思果真发达作用，就必须以某种款式执续存在，岂论以何种款式，皆不错用来搜寻、检测和反应，致使可能不容坏心软件影响末端。了解坏心软件如何到达末端以及如何执续存在的细节，不错让组织评估我方的规章遵守并细目如何最佳地治理问题。因此，固然在莫得某种基于内存的检测的情况下可能无法径直检测到骨子的坏心代码自己，但与坏心软件径直相关和相关的前兆、效率/影响和后续行径皆不错被检测到，因为它们将以可检测的款式“出现”。天然，这取决于您的范围和可见性，但事实是它们将是可检测到的。它们可能是程度、从注册表值检索的代码、瞎想任务，致使是 Windows 事件日记中记载的其他末端影响，但它们皆是可检测到的。

坏心软件不会将 EXE 写入注册表中的某个值（或多个值），而是写入“无文献负载”。这可能会酿成耻辱，因为根据径，“HKEY_CURRENT_USER”不错援用用户成立文献中的 NTUSER.DAT 或 USRCLASS.DAT文献。

你要的谜底在这里：

38jjj

1. 挫折者频繁使用无文献坏心软件，但它真的莫得留住任何文献吗？

2. 保存成立的注册表骨子上四肢文献存储在您的筹划机上。

3. 执久性是通过瞎想任求收场的，坏心软件会成立任务，并将其保存在筹划机上的文献中。

4.“尽管‘无文献’是一个常用术语，但它并不悉数正确。骨子上，筹划机上的悉数内容皆波及文献。明确这小数有助于每个东谈主更好地剖析和驻扎这些禁绝。”

5.举个例子，“思象一个魔术师在饰演魔术。你看不到谈具，但它们仍然在那处，荫藏在视野除外。无文献坏心软件近似 - 它可能不会留住彰着的文献，但它仍然使用筹划机的荫藏器用来使命。”

#图文新星瞎想#汉服 足交