【PConline資訊】Windows 10系統(tǒng)中防惡意程序掃描接口(AMSI)中存在的BUG,如果代碼中包含空字符就能夠跳過惡意程序的檢測。Windows 10系統(tǒng)的AMSI是一種安全設(shè)置,扮演著應(yīng)用程序和防病毒軟件的中介作用。它允許程序發(fā)送給防病毒軟件來檢查它們所使用的文件是否安全。 AMSI最重要的功能就是在應(yīng)用啟動(dòng)的時(shí)候檢測可執(zhí)行文件,并掃描啟動(dòng)后可能會(huì)打開的后續(xù)資源文件。攻擊者可以使用運(yùn)行在其他合法軟件上的PowerShell腳本程序進(jìn)行偽裝,從而規(guī)避傳統(tǒng)基于簽名防病毒引擎,因此這種攻擊方式日益受到黑客的青睞。 研究人員Satoshi Tanda發(fā)現(xiàn),這個(gè)BUG會(huì)導(dǎo)致AMSI掃描的文件被截?cái)酁榭兆址。這就意味著攻擊者可以通過將惡意代碼放置在空字符之后來輕松隱藏腳本中的惡意代碼。由于AMSI永遠(yuǎn)不會(huì)讀取此代碼,因此惡意程序在沒有警告響起的情況下通過。 該BUG已經(jīng)在最近的補(bǔ)丁星期二活動(dòng)中進(jìn)行修復(fù)。
|
正在閱讀:Windows10BUG:惡意代碼通過空字符繞過安全檢查Windows10BUG:惡意代碼通過空字符繞過安全檢查
2018-02-24 17:00
出處:其他
作者:PConline
責(zé)任編輯:wuyiying1