الـ Process injection تكنيك يستخدم من قبل الهكرز لإخفاء الـ Malware بطريقة يصعب اكتشافها

بالثريد هذا راح اشرح الـ Process injection و اشهر انواعه نظريًا ، و بثريد قادم راح نسوي Analysis و Detection لـ جهاز مصاب.

لايك على طريقك وقراءة ممتعة!

بالبداية يفضل تكون عندك معرفة بسيطة بانظمة التشغيل عشان تفهم الكونسبت بشكل واضح ومعرفة بسيطة بالـ Win32 API وعلمًا راح اذكر عدد من الـ APIs و راح اميزها باستخدام الاقواس [ المربعة ]

تخيل معي عندك مالوير وتبي تخفيه داخل بروسيس طبيعية عشان ما تثير الشكوك .. على سبيل المثال اسم المالوير malware.exe و المالوير ظاهر على الـ Task manger فـ بطبيعة الحال راح تشك فيه وتسوي End Task وكذا ما استفدنا شيء

ولكن لو استخدمنا احد طرق البروسيس انجكشن راح نقدر ناخذ كود المالوير و نحقنه داخل بروسيس مستحيل تشك فيها ، على سبيل المثال Google Chrome فـ راح يختفي malware.exe ويدخل بالبروسيس حق قوقل كروم https://t.co/AgqZulK9NJ

ولكن هنا فيه مشكلة بسيطة اللي هي قوقل كروم البروسيس حقه غير ثابت يعني ممكن تقفله ويروح الـ Injection .. فـ بهذي الحالة ممكن نستعين بـ Process ثابته مثل svchost.exe ودائمًا اثناء التحليل او التحقيق تذكر هذي الملاحظة ?