红队免杀必会-进程注入--注册表-全局钩

已于 2022-03-12 21:41:00 修改
阅读量4.4k 收藏 5
点赞数
文章标签: 安全 web安全
于 2022-03-12 21:39:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gamma_lab/article/details/123450922
版权
本文详细介绍了Windows系统中的进程注入技术,包括DLL注入、AppInit_DLLs注册表注入和全局钩子注入。通过代码示例展示了如何实现这些注入方式,以及在注入过程中遇到的权限提升和异常处理问题。同时,提到了Windows的安全机制变化,如Win7之后对DLL加载的控制。文章最后探讨了全局钩子如何利用DLL实现跨进程注入,并讨论了共享内存作为跨进程通信的一种方式。
摘要由CSDN通过智能技术生成

前言

​ 进程注入 ,简而言之就是将代码注入到另一个进程中,跨进程内存注入,即攻击者将其代码隐藏在合法进程中,长期以来一直被用作逃避检测的手段.

​ 进程的注入方式可以分为DLL注入和shellcode注入,这两种方式本质上没有区别,在操作系统层面上,dll也就是shellcode的汇编代码。

代码框架

​ 想法是尽量用一个通用的注入框架,有异常接收,令牌权限开启,获取进程PID的功能,只需要在main函数中调用不同的注入方式:

#include "public.h"
int main() {
	DWORD pid = GetPid();
	if (pid == 0) {
		ShowError("Getpid");
		return -1;
	}
	//std::cout<<"Pid:" << pid << std::endl;
	if (!EnableDebugPrivilege(TRUE)) {
		ShowError("EnableDebugPrivilege");
		return -1;
	}

	BOOL bRet = Inject(DWORD dwPid, CHAR code[]);
	if (bRet != TRUE)
	{
		ShowError("Inject");
		return -1;
	}
	system("pause");
	return 0;
}
BOOL Inject(DWORD dwPid, CHAR code[])
{
	BOOL ret = TRUE;
	return ret;
}

获取进程pid

​ 主要实现通过进程名称获取进程Pid,代码很简单如下:

DWORD GetPid() {
	//获取进程快照
	HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	//创建进程结构体
	PROCESSENTRY32 process = { 0 };
	process.dwSize = sizeof(process);
	if (Process32First(snapshot, &process)) {
		do {
			if (!wcscmp(process.szExeFile, L"notepad.exe"))
				break;
		} while (Process32Next(snapshot, &process));

	}
	CloseHandle(snapshot);
	return process.th32ProcessID;
}

错误处理

​ 错误、异常处理,用来接收的返回值GetLastError():

VOID ShowError(PCHAR msg)
{
	printf("%s Error %d\n", msg, GetLastError());
}

进程提权

AdjustTokenPrivileges

​ 在进程注入中,如果要对其他进程(包括系统进程和服务进程)进行注入,需要获取当前进程的SeDeBug权限来调用OpenProcess打开要注入的进程。如果用户是管理员组下的成员是具有该权限的。

​ 但是当我们用Administrator身份去打开一个进程时,还是会出现拒绝访问的错误:

image-20220308101220544

错误代码为5表示拒绝访问:

image-20220308101349718

这是因为默认情况下,某些进程的访问权限是没有开启的。所谓的"提权",其实就是将原有的权限开启,并不是真正意思上的提权,微软提供了一些可供我们修改令牌权限,比如:

最低0.47元/天 解锁文章
Gamma_lab
关注
红队渗透打点工具-FindUpload
03-07
红队渗透打点工具-FindUpload】 在网络安全领域,红队渗透测试是模拟黑客攻击行为,以评估组织防御能力的一种重要方法。FindUpload作为一款红队打点工具,其核心功能在于帮助渗透测试专家有效地查找和定位网络...
10种常见的进程注入技术的总结
热门推荐
qing666888的专栏
09-21 1万+
译者:myswsun 预估稿费:300RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 0x00 前言 进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。尽管有非常多的进程注入技术,但是本文我只列举了10种常见的技术。我还提供了这些
你真的了解进程注入吗?
weixin_65550121的博客
12-13 1743
这里的第一个参数还是跟上面一样进程的句柄,第二个参数设置为nullptr,第三个参数就是shellcode的大小,第四个参数表示指向一个应用程序定义的函数的指针,这个参数的类型为 LPTHREAD_START_ROUTINE,这里的第一个参数就是我们进程的句柄,第二个参数就是我们使用VirtualAllocEx申请的地址,第三个参数就是shellcode,第四个参数表示shellcode的大小,最后一个参数就是写入字节数的输出参数。对于要运行的进程,它必须有一个正在运行的线程,该线程是运行代码的组件。
进程注入系列一之APC注入
weixin_46539164的博客
04-28 3707
什么是APC APC 是一个简称,全称为Asynchronous Procedure Call,叫异步过程调用,是指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制。 MSDN解释为: 相关函数 QueueUserApc:函数作用,添加制定的异步函数调用(回调函数)到执行的线程的APC队列中 APCproc:函数作用: 回调函数的写法. 核心函数 QueueUserAPC DWORD QueueUserAPC( PAPCFUNCpfnAPC, // APC function HANDLEhT
进程注入的三种方法
benny5609的专栏
09-13 3278
一般来说,这个问题有三种可能的解决方案:  1. 把你的代码放到一个DLL中;然后用 windows 子把它映射到远程进程。  2. 把你的代码放到一个DLL中;然后用 CreateRemoteThread 和 LoadLibrary 把它映射到远程进程。  3. 不用DLL,直接复制你的代码到远程进程(使用WriteProcessMemory)并且用CreateRemoteThread执行之。
关于进程劫持注入的一点分析与思考
輚至消亡
04-03 2645
1. 劫持进程实现注入 今天我尝试对win10 x64上的计算器进程进行进程劫持注入。 劫持进程实现注入要执行如下步骤: 以挂起方式启动目标进程 采用其他注入方式将DLL注入目标进程 继续目标进程的主线程使目标进程继续运行 这种注入方式的优点: 被注入进程来不及做任何防御就会被注入。 因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外 还来不及解析导入表将所需dll全部导入,也就是说作为防护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入
Goby红队版-win-x64-2.4.7版本
07-27
Goby红队专版:集成1500个poc和exp ,覆盖普通版本所有功能,开箱即用 使用方式: 解压后双击goby.exe运行即可 注意事项: 最新的漏洞不可以在线更新,可自行添加poc和exp 重要的事情说三遍 不要用于非法或未授权...
goby-红队专用版-for-Windows
12-15
goby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队...
goby红队&社区版-win-64-2.4.7
11-27
《Goby红队与社区版:安全扫描与漏洞检测的利器》 在网络安全领域,漏洞扫描和安全测试是至关重要的环节。Goby是一款备受瞩目的工具,它为红队(网络安全攻防演练中的攻击方)和社区用户提供了一流的支持。"goby...
linux-红队基础设施自动化部署工具
08-13
红队基础设施自动化部署工具
进程注入方法详细介绍
最新发布
Sumarua的博客
07-01 175
进程注入是一种技术,攻击者将恶意代码注入到合法的系统进程中运行。这种方法可以使恶意代码看起来像是合法进程的一部分,从而逃避安全软件的检测。通过注入合法进程,攻击者可以利用该进程的权限,并在系统中隐蔽存在。
进程注入系列Part 1 常见的进程注入手段
蛇矛实验室
04-18 1186
进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动态运行代码,这意味着实际的恶意代码不需要直接写入磁盘上的文件中,以避免被防病毒软件的静态检测所发现。简单来说,进程注入就是将一段数据从一个进程传输到另一个进程的方法,这种注入过程可以发生在执行操作的同一进程(自注入)上,也可发生在外部进程上。
第五章 进程注入之APC注入(附源码)
test\\的博客
12-01 2177
目录前言函数介绍QueueUserAPC函数语法参数返回值示例程序代码DLL代码测试原理学习 前言 APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理;如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。 函数介绍 QueueUserAPC函数 把一个APC对象加入到指定线程的APC队列中。
shellCode免杀技巧
qq_39330735的博客
05-15 2685
由上⾯的信息可⻅,国内在1997年出现了第⼀个可以⾃动变异的千⾯⼈病毒,虽然 ⾃动变异也可以看 为是针对杀毒软件的⼀种免杀⽅法,但是由于与免杀⼿法的定义 有出⼊,所以如果将国内免杀技术起源 定位1997年会显得⽐较牵强。2005年2⽉-7⽉:通过各⽅⾯有意或⽆意的宣传,⿊客爱好者们开始逐渐重视免 杀,在类似于免杀技术 界的祖师爷⿊吧安全⽹的浩天⽼师带领下⼀批⿊客开始有越 来越多的讨论免杀技术,这为以后⽊⻢免杀 的⽕爆埋下根基。\t错误值: %d\n", GetLastError());
进程注入技术及其编程学习
WqSmalltalk的博客
09-18 85
通过用户输入目标进程的ID,该代码将打开目标进程,分配内存,将消息写入目标进程的内存,修改目标进程的上下文,创建一个远程线程来执行注入的代码,最后清理资源。进程注入技术是一种操作系统和软件开发中常用的技术,它允许在一个正在运行的进程注入自定义的代码。完成上述步骤后,目标进程的上下文已经被修改,代码已经注入到目标进程的内存中,接下来可以通过操作系统提供的函数,如CreateRemoteThread(Windows)或pthread_create(Linux),来创建一个远程线程来执行注入的代码。
进程注入方法
traum的专栏
08-06 3502
                为了对内存中的某个进程进行操作,并且获得该进程地址空间里的数据,或者修改进程的私有数据结构,
android 进程注入流程
云守护的专栏
06-07 3806
//获取目标进程模块基址 void* get_module_base(pid_t pid, const char* module_name); //获取远程模块基址 void* get_remote_addr(pid_t target_pid, const char* module_name, void* local_addr); //根据进程名查找进程id  读取/proc/%d/cmd
探索高效安全进程注入技术:ProcessInjection
gitblog_00035的博客
03-27 353
探索高效安全进程注入技术:ProcessInjection ProcessInjection项目地址:https://gitcode.com/gh_mirrors/proc/ProcessInjection 在软件开发和系统调试中,有时我们需要深入操作系统内部进行一些低级别的操作,比如进程间通信或者控制其他进程的行为。ProcessInjection是一个开源项目,由SudoZhange创建并...
"网络安全渗透测试与漏洞:红队和蓝队发展计划 - Part 1
O "Plano de Estudos Cyber Security - Parte 1 Red Team.pdf" é um recurso elaborado por Joas Antonio, voltado para auxiliar os estudos em segurança cibernética, ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值