關于FalconEye

FalconEye是一款功能強大的Windows終端安全檢測工具，可以幫助廣大研究人員實時檢測Windows進程注入行為。FalconEye也是一個內核模式驅動工具，旨在實現實時的進程注入行為。由于FalconEye需要以內核模式運行，它可以提供一個強大可靠的安全防御機制來抵御那些嘗試繞過各種用戶模式鉤子的進程注入技術。

工具架構

• FalconEye驅動器是一種按需加載的驅動程序;
• 初始化包括通過libinfinityhook設置回調和syscall鉤子;
• 回調維護從跨流程活動(如OpenProcess)構建的Pids的映射，但不限于OpenProcess;
• 隨后的回調和syscall鉤子使用這個Pid映射來減少處理中的噪聲;
• 作為降噪的一部分，syscall鉤子可以過濾掉相同的進程活動;
• 檢測邏輯分為多種子類，即無狀態(例如：Atombombing)、有狀態(Unmap+Overwrite)和浮動代碼(多種技術實現的Shellcode);
• 針對有狀態的檢測，syscall鉤子會記錄一個ActionHistory(歷史活動)，比如說，它會記錄所有的NtWriteVirtualMemory調用;
• 檢測邏輯具有常見的異常檢測功能，如浮動代碼檢測和遠程進程中Shellcode觸發器的檢測。回調和syscall鉤子都會調用這個公共功能來進行實際檢測;

需要注意的是，我們的重點一直是檢測任務本身，而不是創建一個高性能的檢測引擎。

項目目錄結構

. 
 
├── src 
 
│   ├── FalconEye ---------------------------# FalconEye user and kernel space 
 
│   └── libinfinityhook ---------------------# Kernel hook implementation 
 
├── 2021BHASIA_FalconEye.pdf 
 
└── README.md 

工具要求

• Windows 10 Build 1903/1909
• Microsoft Visual Studio 2019
• VmWare、Hyper-V等虛擬化軟件

工具安裝

(1) 項目構建

• 使用Microsoft Visual Studio 2019打開解決方案;
• 選擇x64作為構建平臺;
• 構建解決方案，此時將在“src\kernel\FalconEye\x64\Debug”或“src\kernel\FalconEye\x64\Release”路徑下生成sys源碼;

(2) 測試設備部署

在虛擬機中安裝好Windows 10 Build 1903/1909;

配置虛擬機以測試未簽名的驅動程序，使用bcdedit，禁用完整性檢測：

BCDEDIT /set nointegritychecks ON 

在虛擬機中運行DbgView，或使用WinDbg開啟一個調試連接;

工具使用

• 我們需要將sys文件拷貝到測試設備(Windows 10虛擬機)中;
• 使用OSR加載器或類似的工具，以“按需”加載驅動器的形式加載sys;
• 運行類似pinjectra或minjector之類的注入測試工具;
• 通過WinDbg或DbgView監控調試日志;

項目地址

FalconEye：【GitHub傳送門】