1.挂exec而不挂fork,可以通过fork fork fork ,这样会有时候拿不到数据维度造成绕过
从检测思路上思考
首先我们拦截一个exe执行,既恶意程序执行,恶意命令执行,那么存在下列几种拦截情况
1.获得exe路径,拦截,简单粗暴,但是存在绕过
2.获得exe md5拦截,鉴于上述情况,一种更好的方案
3.获得exe执行参数拦截,有可能该程序某个参数会发生恶意行为,则给予参数拦截
那么同样绕过思路就是
1.exe路径修改
2.exe md5修改,自己修改资源,重新上传一个类似功能的文件即可
3.将参数换成同样程序可以执行的参数,既等价替换