红队免杀必会-进程注入--注册表-全局钩

已于 2022-03-12 21:41:00 修改
阅读量4.3k 收藏 3
点赞数
文章标签: 安全 web安全
于 2022-03-12 21:39:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gamma_lab/article/details/123450922
版权

前言

​ 进程注入 ,简而言之就是将代码注入到另一个进程中,跨进程内存注入,即攻击者将其代码隐藏在合法进程中,长期以来一直被用作逃避检测的手段.

​ 进程的注入方式可以分为DLL注入和shellcode注入,这两种方式本质上没有区别,在操作系统层面上,dll也就是shellcode的汇编代码。

代码框架

​ 想法是尽量用一个通用的注入框架,有异常接收,令牌权限开启,获取进程PID的功能,只需要在main函数中调用不同的注入方式:

#include "public.h"
int main() {
	DWORD pid = GetPid();
	if (pid == 0) {
		ShowError("Getpid");
		return -1;
	}
	//std::cout<<"Pid:" << pid << std::endl;
	if (!EnableDebugPrivilege(TRUE)) {
		ShowError("EnableDebugPrivilege");
		return -1;
	}

	BOOL bRet = Inject(DWORD dwPid, CHAR code[]);
	if (bRet != TRUE)
	{
		ShowError("Inject");
		return -1;
	}
	system("pause");
	return 0;
}
BOOL Inject(DWORD dwPid, CHAR code[])
{
	BOOL ret = TRUE;
	return ret;
}

获取进程pid

​ 主要实现通过进程名称获取进程Pid,代码很简单如下:

DWORD GetPid() {
	//获取进程快照
	HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	//创建进程结构体
	PROCESSENTRY32 process = { 0 };
	process.dwSize = sizeof(process);
	if (Process32First(snapshot, &process)) {
		do {
			if (!wcscmp(process.szExeFile, L"notepad.exe"))
				break;
		} while (Process32Next(snapshot, &process));

	}
	CloseHandle(snapshot);
	return process.th32ProcessID;
}

错误处理

​ 错误、异常处理,用来接收的返回值GetLastError():

VOID ShowError(PCHAR msg)
{
	printf("%s Error %d\n", msg, GetLastError());
}

进程提权

AdjustTokenPrivileges

​ 在进程注入中,如果要对其他进程(包括系统进程和服务进程)进行注入,需要获取当前进程的SeDeBug权限来调用OpenProcess打开要注入的进程。如果用户是管理员组下的成员是具有该权限的。

​ 但是当我们用Administrator身份去打开一个进程时,还是会出现拒绝访问的错误:

image-20220308101220544

错误代码为5表示拒绝访问:

image-20220308101349718

这是因为默认情况下,某些进程的访问权限是没有开启的。所谓的"提权",其实就是将原有的权限开启,并不是真正意思上的提权,微软提供了一些可供我们修改令牌权限,比如:

最低0.47元/天 解锁文章
Gamma_lab
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
无DLL,直接将整个EXE注入其他进程
El Psy Congroo
08-02 8852
注入代码的方式比较 注入shellcode 优点: 1. 简单,只需要EXE的一部分。代码可以用C\C++或汇编写 缺点: 1. 要写位置无关代码,这意味着不能直接使用全局变量、其他编译单元的函数(包括CRT的memcpy)、API等。如果要使用则要由源进程分配空间、计算API在目标进程的地址,并传到目标进程的shellcode。或者shellcode自己计算LoadLibrary和Ge...
进程注入的三种方法
benny5609的专栏
09-13 3216
一般来说,这个问题有三种可能的解决方案:  1. 把你的代码放到一个DLL中;然后用 windows 子把它映射到远程进程。  2. 把你的代码放到一个DLL中;然后用 CreateRemoteThread 和 LoadLibrary 把它映射到远程进程。  3. 不用DLL,直接复制你的代码到远程进程(使用WriteProcessMemory)并且用CreateRemoteThread执行之。
探秘S-Inject:Windows下的DLL+Shellcode免杀注入神器
最新发布
gitblog_00095的博客
06-04 437
探秘S-Inject:Windows下的DLL+Shellcode免杀注入神器 项目地址:https://gitcode.com/Joe1sn/S-inject 在网络安全研究与逆向工程的领域里,有时我们需要进行进程注入以实现某些特定的功能,比如动态调试、性能监测或是安全检测等。今天,我们要推荐一个强大的开源项目——S-Inject,这是一个专为Windows平台设计的DLL+Shellcode注...
Native Application 开发详解
weixin_34261415的博客
09-21 306
文章目录:                   1. 引子: 2. Native Application Demo 展示: 3. Native Application 简介: 4. Native Application 有何妙用: 5. MJ0011 关于 Native Application 的文章整理: 6. 互联网上其他关于 Native Application 的文章整理:...
全局子DLL注入
苞米地里捉小鸡的博客
09-25 1841
全局注入介绍背景 Windows下的应用程序大部分都是基于消息机制的,它们都会有一个消息过程函数,根据不同的消息完成不同的功能。Windows操作系统提供的子机制就是用来截获和监视这些系统中的消息。 按照子作用的范围不同,又可以分为局部子和全局子。局部子是针对某个线程的;而全局子则是作用于整个系统中基于消息的应用。全局子需要使用DLL文件,在DLL中实现相应的子函数。 接下来,本文将介绍利用全局子来进行DLL注入。 主要步骤 1.在DLL中设置子回调函数、设置全局子和卸载
红队渗透打点工具-FindUpload
03-07
红队渗透打点工具-FindUpload】 在网络安全领域,红队渗透测试是模拟黑客攻击行为,以评估组织防御能力的一种重要方法。FindUpload作为一款红队打点工具,其核心功能在于帮助渗透测试专家有效地查找和定位网络...
Goby红队版-win-x64-2.4.7版本
07-27
Goby红队专版:集成1500个poc和exp ,覆盖普通版本所有功能,开箱即用 使用方式: 解压后双击goby.exe运行即可 注意事项: 最新的漏洞不可以在线更新,可自行添加poc和exp 重要的事情说三遍 不要用于非法或未授权...
goby-红队专用版-for-Windows
12-15
goby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队专用版_for_Windowsgoby_红队...
goby红队&社区版-win-64-2.4.7
11-27
《Goby红队与社区版:安全扫描与漏洞检测的利器》 在网络安全领域,漏洞扫描和安全测试是至关重要的环节。Goby是一款备受瞩目的工具,它为红队(网络安全攻防演练中的攻击方)和社区用户提供了一流的支持。"goby...
linux-红队基础设施自动化部署工具
08-13
红队基础设施自动化部署工具
进程注入实现
11-09
Android中的进程注入功能实现,
创建进程挂起进程注入
02-08
下载请管理员帮忙修改下5分太多了。不会修改这个。 创建进程。挂起进程注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
绕过360简单技巧(免杀
06-04
浴血凤凰的教程,用restorator修改版本和图标绕过360杀毒,适合免杀菜鸟看。不错哦
【技术】权限提升在程序设计中的重要性案例
陈刚编程心得与知识集
01-07 526
我在设计一个文件索引、文件遍历搜索软件的时候,发现本来在VB6编辑环境下调试运行时,没有任何的报错,但是编译成exe文件后,执行到第68个文件的时候,就崩溃了。原因是什么?     为了查明原因,我在代码中加上了debug.print输出了出问题时正在枚举的文件夹。发现它是系统文件夹。这个时候我才意识到可能是权限的问题。     我回忆起曾经写过强制关机程序的时候需要使用一个提权系统函数,于是
VB6应用系统的权限管理
raoqiang的专栏
05-06 565
实现方法:建立如下表,对每一个form的操作功能中加入如下的AskRights Function,即可对每一个form及其中的每一项功能进行单独控制,包括菜单项的控制,出错处理请查本人另一文档 表结构说明: 表:users_frm(Form设定) f001 IDENTITY Form ID号, f002 V20 Form名, f003 V50 form说明, f004
win7 64bit下远程线程注入技术(进程劫持入门技术)
扣的CODE
07-20 7505
http://blog.csdn.net/arvon2012/article/details/7766439 本文是配合上文学习和使用的。上文中,最后,我们生成了可以hook api的dll,那么怎么把它发射到其他进程中,让其他进程调用运行我们的dll呢? 远程线程注入技术可以解决这个问题。   原理: 远程线程注入是这样的,首先在当前运行的进程中找到目标进程,然后将我们的dll的内容写
Ring3进程注入技术讲解篇
fsjaky的专栏
04-17 1000
Ring3进程注入技术讲解 在我的学习过程中,写出我所了解的三种技术,贴点理论的东西,方便以后理解。大牛勿喷 第一种:远程线程插入技术 将要实现的功能程序做成一个线程,并将次线程在运行时自动插入到常见的进程中,比如explorer.exe。不过这个技术好像有点复杂,复杂在什么地方呢?就是在进程中寻址容易出现问题,必须要进行抵制重定位。然后保存函数和变量的地址,插入到目标进程,需要对目标进程
红队培训班作业 | 五种免杀bypass火绒360姿势横向测评:哪款更适合你?
Ms08067安全实验室
09-01 1400
文章来源|MS08067 红队培训班第12节课作业本文作者:某学员A(红队培训班1期学员)按老师要求尝试完成布置的作业如下:一、远程线程注入(一)通过MSF生成payload通过msfve...
Plano de Estudos Cyber Security - Parte 1 Red Team.pdf
10-06
O "Plano de Estudos Cyber Security - Parte 1 Red Team.pdf" é um recurso elaborado por Joas Antonio, voltado para auxiliar os estudos em segurança cibernética, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值