新型Windows木马借破坏文件头长期潜伏

Fortinet最新研究发现，一款新型Windows远程访问木马通过刻意损坏可执行文件的DOS头（实现MS-DOS兼容性）和PE头（存储Windows执行元数据）逃避检测，在受害主机的dllhost.exe进程中潜伏数周。攻击者通过PowerShell脚本注入恶意载荷，其破坏性文件头设计导致传统分析工具失效。研究人员经复杂内存取证，成功从转储数据中重建有效载荷。