一、前言

無文件（fileless）惡意軟件攻擊現(xiàn)在已經(jīng)越來越流行，這一點并不奇怪，因為這種技術(shù)通常不會留下蛛絲馬跡。本文的重點不是介紹如何在Windows RAM中執(zhí)行程序，我們的目標(biāo)是GNU/Linux。Linux是服務(wù)器行業(yè)的領(lǐng)頭羊，在上百萬嵌入式設(shè)備和大多數(shù)web服務(wù)上都能看到Linux的身影。在本文中，我們將簡單探討如何在Linux系統(tǒng)內(nèi)存中執(zhí)行程序，也討論了如何應(yīng)付具有挑戰(zhàn)性的環(huán)境。

無文件執(zhí)行比較隱蔽，比較難檢測及跟蹤。由于該過程中不涉及新文件寫入磁盤，也沒有修改已有文件，因此基于文件系統(tǒng)一致性的檢測工具通常不會警告管理員。反病毒軟件（*nix用戶通常會忽略這種產(chǎn)品）在程序啟動后通常不會監(jiān)控程序內(nèi)存。其外，當(dāng)系統(tǒng)安裝完畢后，許多GNU/Linux發(fā)行版會提供各種調(diào)試工具、解釋程序、編譯器和程序庫，這些都可以幫助我們實現(xiàn)無文件技術(shù)隱蔽執(zhí)行。然而，無文件執(zhí)行也有一些缺點，比如無法在系統(tǒng)意外斷電或者重啟時正常駐留，但程序正常情況下可以保持運行，直到目標(biāo)設(shè)備斷電下線。

無文件技術(shù)可以用來傳播惡意軟件，但功能并不局限于此。如果我們對運行速度要求較高，可以將程序拷貝到內(nèi)存中運行。許多Linux發(fā)行版可以完全在內(nèi)存中運行，因此在搭載硬盤驅(qū)動器的情況下，我們還是有可能實現(xiàn)不落盤運行。對于信息安全而言，無文件技術(shù)在后滲透（post-exploitation）階段和情報收集階段非常有用，可以盡可能規(guī)避安全審計。

根據(jù)barkly.com的介紹，在2018年35%的病毒攻擊中涉及到無文件攻擊技術(shù)。在Windows系統(tǒng)上，黑客們通常使用內(nèi)置的PowerShel

總結(jié)

以上是生活随笔為你收集整理的linux系统内存执行elf的多种方式（内存马）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。