主动防御的代码注入方法一点思考 (转载)

最新推荐文章于 2022-04-10 14:15:04 发布
最新推荐文章于 2022-04-10 14:15:04 发布
阅读量1.1k 收藏
点赞数
分类专栏: 安全 文章标签: module buffer hook thread 测试 access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cmdhack/article/details/6134493
版权
本文探讨了一种绕过杀毒软件主动防御的代码注入技术,通过在目标进程中搜索已存在的字符串,如"nel32.dll",作为参数传递给QueueUserAPC,避免了WriteProcessMemory函数的使用,从而成功实现注入,同时举例并提供了实验代码证明其可行性。
摘要由CSDN通过智能技术生成

目前大多数的杀软都是hook NtWriteVirtualMemory和NtUserSetWindowsHookAW、NtUserSetWindowsHookE来防止代码注入。
关于代码注入Ring3层的方法主要有:
远程线程CreateRemoteThread
消息钩子SetWindowsHookEx
Ring3 APC QueueUserApc
修改线程上下文SetContextThread
其中第一种和第三种方法需要传入一个param,但是要求这个param必须在目标进程内存空间,之前的一些方法比较笨重,直接在目标进程 VirtualAllocEx内存,然后把希望的参数内容写入这个内存,使用了WriteProcessMemory函数,而这个函数是被hook的,所以杀软可以很容易的拦截代码注入行为。
仔细想想,杀软的这种防御是很失败的!原因是为了要一个param,攻击者完全没有必要做这么大的动作去目标进程内存空间申请内存并写内存,我在思考是否可以不用WriteProcessMemory函数呢?反正我的目的就是得到一个合理的param,并且这个param是在目标进程内存空间即可!
思考后,原来一切是这么容易啊,哈哈!乐了我半天~~~
举个例子:假设我是这样注入的:
QueueUserAPC((PAPCFUNC)LoadLibraryA, hThread, (ULONG_PTR)param) ;
我想让上面的param的内容是一个“xxx.dll”,就可以了,而且要求这个param是在目标进程内存空间
您想到了么?哈哈
答案

最低0.47元/天 解锁文章
cmdhack
关注
专栏目录
关于消息钩子链的读取问题说明: NtUserSetWindowsHookEx返回的HHOOK怎么换成PHOOK
明日帝国的专栏-技术改进生活
11-18 6495
不少人问NtUserSetWindowsHookEx返回的HHOOK怎么换成PHOOK,这里说明一下。主要是找到那个转换函数地址直接调用就是了。原理:找到 win32k ssdt的NtUserUnhookWindowsHookEx的函数入口,直接取@HMValidateHandle@8 的地址使用方法:#define GetObjectFromHandle (handle,object){__as
主动防御代码
02-20
一份C++的源代码!! 系统主动防御代码
【原创】发一个主动防御代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1355
标 题: 【原创】发一个主动防御代码 作 者: Fypher 时 间: 2012-05-09,08:59:51 链 接: http://bbs.pediy.com/showthread.php?t=150414 算是个雏形吧,界面很丑,拦截的函数也不够多,不过框架是完整的,很容易扩展。 几个月前写的,本来想完善一下再放出来,但是发现最近实在没时间弄了
远程代码注入的介绍与代码防御
煜铭2011
10-07 1535
0x01 介绍     Web 应用程序使用操作系统呼叫来执行本机图像,以扩展它们的功能或运行旧版代码。不用说,直接抵达这些呼叫的用户输入当然极危险,因为如此一来,恶意用户便可以使用应用程序主机的凭证来运行本机代码,甚至造成彻底的系统伤害。传播到共享库装入方法(如 Java 的 java.lang.Runtime.loadLibrary)中的用户输入也同样危险,也应该避免。即便用户只
[VC] - 绕过主动防御代码注入方法思考
weixin_30755393的博客
04-17 91
来源:http://www.520hack.com/Article/Text6/200810/11964.html (百度快照2009-5-30)http://cache.baidu.com/c?m=9f65cb4a8c8507ed4fece763105392230e54f7643cd58a462e8d8448e435061e5a15a3fd7c734e53cea32b2d47ab545ce8f...
hook注入&& 软件保护技术 &&软件壳
qq_37439229的博客
01-27 317
hook的类型 java层:1.Dalvik hook 2.ART hook Native层: 1.LD_PRELOAD_Hook 2.Inline hook hook框架xposed 吐了 老是报错l…为什么。。。 https://blog.csdn.net/tanmx219/article/details/81369229【已解决】
防御SQL注入方法总结
09-10
4. 防御SQL注入方法: - **使用预编译SQL语句**:预编译的SQL语句(如Java中的`PreparedStatement`)在执行前已经由数据库解析和优化,确保用户输入仅被视为数据而非SQL命令的一部分。例如,`String sql = ...
另类过主动防御系统代码.7z
09-18
然而,黑客和恶意软件开发者也在不断寻找方法绕过这些防御机制,"另类过主动防御系统代码"可能就是针对这一需求而设计的一种技术手段。 首先,我们要理解什么是"Hook Mode Inject"。Hook模式注入是黑客常用的逃避...
所谓主动防御
老吴的博客
01-11 465
所谓主动防御应该是跟随系统一起启动的,而“火”却跟其他杀软一样,待其他的应用软件启动以后才启动,如果木马病毒比他先启动,那么“火”势必就监测不到,如果是专门针对“火”的,那么“火”不就老早被干掉了!
Win7下过盛*大Hack*Shield的部分驱动保护
o6108的专栏
06-22 5821
在Win7下很多XP的驱动都不适用了!前几个月研究了一下盛*大游戏的泡泡*堂的Hack*Shield驱动保护发现Hook了十多个内核函数,Ring 3和 Ring 0的双重保护,同时加了Themida的壳。 现在暂时发现钩住了以下函数: hook NtReadVirtualMemory hook NtWriteVirtualMemory Hook NtClose Hook NtProte
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1081
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hookHook api 实现隐藏参数...
如何把.exe的函数转成dll_红蓝对抗之如何利用Shellcode来躲避安全检测
weixin_39666782的博客
12-06 527
写在前面的话对于红队安全研究团队来说,一次成功的渗透测试必须是不被目标系统发现的,随着现代终端检测和响应(EDR)产品日趋成熟,红队也必须随之每日俱进。在这篇文章中,我们将跟大家介绍FireEye Mandiant红队研究人员如何通过构造特殊Payload来绕过现代EDR产品,并获取到目标系统的完整命令控制访问权。Shellcode注入或Shellcode执行往往是我们在目标系统上实现P...
浅谈SQL注入的四种防御方法
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
SQL注入防御:关键代码示例
本文档关注的是如何通过编写源代码来防御这种攻击,特别是使用Java编程语言实现的一种简单但实用的方法。 标题中的"SQL防注入式攻击源代码"表明这是一份关于预防SQL注入攻击的具体编程示例。在给定的代码片段中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值