隐匿于WMI的病毒:无需落地即可运行
2025-01-29
一个名为Stuxnet的POC项目展示了一种新型病毒,它巧妙地将恶意代码隐藏在Windows管理规范(WMI)中,无需写入硬盘即可执行。该病毒利用WMI作为文件系统,通过PowerShell脚本在启动时提取并加载病毒到内存。该项目还包含一种新颖的提权技术和其它高级的防病毒规避技术,例如按需加载系统库,动态查找函数偏移量等,使得其能够躲避主流杀毒软件和沙箱检测。作者还暗示了WMI中潜在的内核空间漏洞利用可能性。