进程注入系列Part 1 常见的进程注入手段

最新推荐文章于 2025-02-25 15:16:45 发布
最新推荐文章于 2025-02-25 15:16:45 发布
阅读量1.5k 收藏 30
点赞数 19
分类专栏: 网络靶场 安全开发 安全研究 文章标签: 网络安全 进程注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/We8__/article/details/137909373
版权

前言    

进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。

进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动态运行代码,这意味着实际的恶意代码不需要直接写入磁盘上的文件中,以避免被防病毒软件的静态检测所发现。

简单来说,进程注入就是将一段数据从一个进程传输到另一个进程的方法,这种注入过程可以发生在执行操作的同一进程(自注入)上,也可发生在外部进程上。在注入外部进程的情况下,攻击者通常会选择受信任的合法进程,例如正在运行的应用程序或系统进程,其目的是未经授权地访问和操纵这些进程,同时也希望能够隐藏自己注入的恶意代码,以逃避安全软件和防御者的检测。

无论是在同一进程还是远程进程中,为了在内存中注入和执行代码,攻击者会使用 Windows API 的不同组合。这些 API 在注入逻辑中有不同的用途,具体使用的函数调用数量和特定的 Windows API 可能会有所不同,这取决于所选的代码注入方法。

已有多种方法实现在 Windows 进程空间内的代码注入和执行,下面列出了常见的进程注入方法(以注入 shellcode 为例,注入 DLL 类似)。

ps:文中设计的示例代码为了精简,方便看清逻辑,并未添加相关错误处理。

 传统的远程线程注入 

该注入技术通过实例化远程线程来实现在目标进程中的执行。

 工作流程:

  •  获取目标进程的句柄 

  •  在目标进程中为 payload 分配空间 

  •  将 payload 写入目标进程分配的空间中 

  •  创建一个线程执行注入代码 

int main()
{
    SIZE_T payloadLen = sizeof(payload);

    DWORD pid = FindProcessIdByName(TEXT("notepad.exe"));
    HANDLE hProcess = OpenProcess(PROCESS_CREATE_THREAD | PROCESS_QUERY_INFORMATION | PROCESS_VM_OPERATION | PROCESS_VM_READ | PROCESS_VM_WRITE, FALSE, pid);
    LPVOID pRemoteBuffer = VirtualAllocEx(hProcess, NULL, payloadLen, MEM_COMMIT, PAGE_EXECUTE_READ);
    WriteProcessMemory(hProcess, pRemoteBuffer, (PVOID)payload, (SIZE_T)payloadLen, NULL);
    HANDLE hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pRemoteBuffer, NULL, 0, NULL);
    WaitForSingleObject(hThread, 500);

    return 0;
}

根据该注入技术,可以拓展出许多基于该技术的变种,在获取目标进程句柄上,恶意程序可以通过创建一个新的进程来实现(CreateProcess、CreateProcessWithLogonW、Create

最低0.47元/天 解锁文章
C++软件调试与异常排查从入门到精通专栏介绍与文章汇总
dvlinker的技术专栏
06-29 21万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
计算机网络 Part1
weixin_53622554的博客
08-19 735
TCP协议会出现对头阻塞的情况,而HTTP / 1.1版本里面头信息无法压缩,会造成无用的带宽资源浪费。
进程注入实现
11-09
Android中的进程注入功能实现,
进程注入技术
weixin_30244889的博客
09-28 288
VirtualAllocEx() 介绍: 功能:在指定进程的虚拟地址空间中保留、提交或更改内存区域的状态。函数初始化分配给零的内存。 函数原型:LPVOID WINAPI VirtualAllocEx( HANDLE hProcess, //进程的句柄。该函数在该进程的虚拟地址空间中分配内存。 LPVOID lpAd...
小白也能当黑客?无问AI手把手教你玩转进程注入!”
最新发布
无问社区的博客
02-25 517
小白也能当黑客?无问AI手把手教你玩转进程注入!”进程注入是挺复杂的一件事,但通过无问AI模型可以帮你快速学习并实操,之后我们会更多利用无问AI来学习网安知识。
【VC++积累】之五、进程注入技术
weixin_30485379的博客
10-08 135
注入:就是把我的代码,添加到已经远行的远程进程的方法; 在WinNT以后的系列操作系统中,每个进程都有自己的4GB私有进程地址空间,彼此互不相关。 如 : 进程A中的一个地址,比如:0x12345678,到了进程B中的相同地方,存的东西完全不一样,或者说不可预料。 所以说如果进程A想要看看或者修改进程B地址空间中的内容,就必须深入到其地址空间中,因为DLL是可以被加...
进程注入的研究与实现(下)
旅途
06-30 1280
5. 无DLL注入   在第三中方法中,我们启动远程线程时,线程函数是我们从Kernel32.dll中取得的LoadLibrary函数的地址为线程函数的地址,其实我们可以直接将线程函数体和函数参数写入目标进程的地址空间,然后创建远程线程。   使用这个方法时,需要注意以下几个问题:   (1) 远程线程函数体不得使用kernel32.dll,user32.dll以外的函数。因为这个两个模块在各
【逆向】【Part 3】DLL注入
lanlanla的成长历程
01-08 1894
目录 一、通过自制调试器来理解其原理 1.调试器的工作原理 实现反汇编功能(重点) 重点分析exception_debug_event 重点:1.对调试器程序增加异常处理操作功能,核心API,CONTEXT结构 二、DLL注入 重点:2.DLL注入的三种基本方法 1.利用全局消息钩子(Windos消息钩取( SetWindowsHookEx() API )) 2.写注册表 3...
Web安全Day1 - SQL注入实战攻防
hongrisec的博客
02-20 3322
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 本专题文章导航 1.Web安全Day1 - SQL注入实战攻防 https://mp.weixin.qq.com/s/zP0MZNhnZG_S9aoHDXzvWA 1. SQL注入 1.1 漏洞简介 结构化查询语言(Structured Query Language...
10种常见进程注入技术的总结
热门推荐
qing666888的专栏
09-21 1万+
译者:myswsun 预估稿费:300RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 0x00 前言 进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。尽管有非常多的进程注入技术,但是本文我只列举了10种常见的技术。我还提供了这些
创建进程挂起进程注入
02-08
下载请管理员帮忙修改下5分太多了。不会修改这个。 创建进程。挂起进程注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
进程注入技术的三种实现方法
04-04
关于进程注入的方法,在这个PDF中有详细的介绍。是入门的必要手册
易语言创建进程注入DLL
07-21
易语言创建进程注入DLL源码,创建进程注入DLL,GetCmdLine,命令行缓冲区_,取文本内容长度_,CopyMemory,SN_CreateProcessA,SN_InjectDllA
初探进程注入
安全杂货铺
02-11 2368
十种进程注入技术研究 翻译自:https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process 简介 进程注入是一类各种恶意软件广泛使用的反检测技术,主要功能是在另一个进程的地址空间内运行自定义的代码。进...
你真的了解进程注入吗?
weixin_65550121的博客
12-13 2024
这里的第一个参数还是跟上面一样进程的句柄,第二个参数设置为nullptr,第三个参数就是shellcode的大小,第四个参数表示指向一个应用程序定义的函数的指针,这个参数的类型为 LPTHREAD_START_ROUTINE,这里的第一个参数就是我们进程的句柄,第二个参数就是我们使用VirtualAllocEx申请的地址,第三个参数就是shellcode,第四个参数表示shellcode的大小,最后一个参数就是写入字节数的输出参数。对于要运行的进程,它必须有一个正在运行的线程,该线程是运行代码的组件。
进程注入方法
traum的专栏
08-06 3548
                为了对内存中的某个进程进行操作,并且获得该进程地址空间里的数据,或者修改进程的私有数据结构,
DLL注入技术之劫持进程创建注入
潜心学习
06-28 2311
正规主题 作者: xusir98 日期: 2013-06-03 来源: 黑客反病毒 (http://bbs.hackav.com) 出处: 黑客反病毒 (http://bbs.hackav.com) 注意: 转载请务必附带本组信息,否则侵权必究! DLL注入技术之劫持进程创建注
十种流行进程注入技术详细分析
weixin_34050389的博客
09-13 1154
本文讲的是十种流行进程注入技术详细分析, 前言 流程注入是一种恶意软件和无文件间谍攻击中使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个进程的地址空间内运行自定义代码。过程注入除了提高了攻击的隐蔽性之外,也实现了持久性攻击。尽管目前有许多流程注入技术,但在本文中,我只介绍十种在野外看到的能够运用另一个进程运行恶意代码的技术。在介绍的同时,我还会...
ctfweb文件上传原理
01-27
### CTF Web 文件上传机制 在Web应用程序中,文件上传功能允许用户向服务器提交文件。此过程通常涉及HTML表单中的`<input type="file">`元素以及相应的后端处理逻辑。当用户选择并提交文件时,浏览器会将文件数据发送到服务器上的特定URL。 为了实现这一操作,在客户端通过HTTP POST请求携带文件内容至服务端。服务端接收到该请求后解析其中的数据流,并将其保存为物理磁盘上的实际文件或临时存储位置以便后续处理[^1]。 #### 安全验证措施 理想情况下,开发者会在接收之前实施多种安全检查来防止恶意行为: - **文件扩展名过滤**:仅接受预定义的安全列表内的扩展名(如`.jpg`, `.png`),拒绝其他类型的文件。 - **MIME类型检测**:依据Content-Type头部字段确认上传对象的真实媒体类别,确保其符合预期格式。 - **文件头校验**:读取部分字节以判断文件签名是否匹配所声明的格式特征。 - **大小限制设定**:规定最大可接受尺寸以防资源耗尽攻击。 然而,在实践中这些防护手段可能被绕过或者存在缺陷,从而暴露出潜在风险点[^2]。 ### 常见漏洞及其利用手法 尽管采取了上述预防措施,但在某些场景下仍可能出现疏漏之处: - **LFI敏感文件读取**:如果应用未能妥善管理内部路径访问权限,则可能导致本地文件包含(Local File Inclusion, LFI),使攻击者能够获取任意系统文件甚至执行远程命令。 - **PHP伪协议滥用**:借助于特殊构造的链接参数(`php://filter`)可以改变输入流的行为模式,进而达到泄露源代码的目的。 - **条件竞争窗口**:假设两个并发进程试图同时创建相同名称的目标实体;由于缺乏同步控制机制而引发竞态状况(race condition),使得非法条目得以混入合法集合之中。 - **自动附加脚本(auto_append_file)**:一旦设置不当便会给所有响应页面注入额外指令片段,造成不可预见的影响范围扩大化趋势[^3]。 ```python import os from flask import Flask, request, redirect, url_for, send_from_directory app = Flask(__name__) UPLOAD_FOLDER = './uploads' ALLOWED_EXTENSIONS = {'txt', 'pdf', 'png', 'jpg', 'jpeg'} def allowed_file(filename): return '.' in filename and \ filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS @app.route('/upload', methods=['POST']) def upload_file(): if 'file' not in request.files: return "No file part" file = request.files['file'] if file.filename == '': return "No selected file" if file and allowed_file(file.filename): filepath = os.path.join(UPLOAD_FOLDER, file.filename) file.save(filepath) return f"File saved at {filepath}" else: return "Invalid file extension" if __name__ == "__main__": app.run(debug=True) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pachimker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值