Дело в том, что он не сохраняется на диске, а «живёт» в оперативной памяти машины.

Сегодня на конференции по компьютерной безопасности Black Hat Europe 2017, которая проходит в столице Англии, два ученые из компании enSilo описали новейшую технику внедрения кода, получившую название «Process Doppelganging».

По утверждению знатоков, тестирование показало, что Process Doppelganging способен побороть защиту основных антивирусных средств, однако применение его затруднено необходимостью глубокого осмысления ряда сложных процессов.

Ученые докладывают, что с помощью Process Doppelgänging им удалось обмануть защитные решения «Лаборатории Касперского», Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360 и Panda.

В собственных экспериментах ученые использовали Process Doppelgänging для запуска Mimikatz, популярной утилиты, используемой для кражи паролей.

«Обнаруженный нами способ дает возможность запускать любой вредный код в виде легитимного процесса на машине с любой из ОС Windows». Даже специализированные инструменты, такие как Volatility, не смогли найти угрозу. [Атака] очень сходна на Process Hollowing, однако с некоторыми нюансами. Метод Process Doppelgänging, который использует Windows NTFS Transaction, дает возможность запустить внутрь системы вредный код и его не находит ни один антивирус.

Атака очень напоминает Process Hollowing, однако делает то же самое без использования подозрительных процессов и действий с памятью. Это делается перед откатом изменений, внесенных в исполняемый файл. Мы перезаписываем законный файл в контексте транзакции.

Схема работы Process Doppelgänging схожа на иную, давно известную технику атак, которая называется Process Hollowing. Возможным злоумышленникам придется знать большое количество «незадокументированных аспектов», связанных с созданием процесса, указывают ученые. NTFS пришла на замену файловой систем FAT, использовавшейся до этого в Microsoft Windows и MS-DOS.