Ring3进程注入技术讲解篇

最新推荐文章于 2023-12-13 19:52:14 发布
最新推荐文章于 2023-12-13 19:52:14 发布
阅读量1k 收藏
点赞数
分类专栏: 心得体会面试 文章标签: 进程注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fsjaky/article/details/8815005
版权

Ring3进程注入技术讲解

在我的学习过程中,写出我所了解的三种技术,贴点理论的东西,方便以后理解。大牛勿喷

第一种:远程线程插入技术

将要实现的功能程序做成一个线程,并将次线程在运行时自动插入到常见的进程中,比如explorer.exe。不过这个技术好像有点复杂,复杂在什么地方呢?就是在进程中寻址容易出现问题,必须要进行抵制重定位。然后保存函数和变量的地址,插入到目标进程,需要对目标进程重新进行内存分配。这种方法适合功能简单的后门程序,这样重定位比较方便,而且不那么容易出错。

第二种:动态链接库(DLL)插入技术

将后门程序做成一个动态连接文件,使用线程插入技术奖动态库插入到目标进程中,加载库中的函数到目标进程。这个技术的关键在于写出高质量的DLL,另外还需要一个载体(Loader,也可以是explorer.exe。大部分载体都是系统开机启动项啦!

第三种:Hooking API

API函数的完全修改。这里的修改不是找到这个API的源码进行修改,而是修改API的入口地址,修改开始的5个字节为跳转指令或者修改IAT(导入表,Iomport Address Table)使别的程序在调用这个函数式,首先转向我们的程序。从列表中将自己的进程信息去掉,就可以到达进程隐藏了。

以上就是常见的进程注入基本方法。不过知易行难,要多去看看人家的源代码,多学习学习!

fsjaky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
红队免杀必会-进程注入--注册表-全局钩
Gamma_lab的博客
03-12 4384
前言 ​ 进程注入 ,简而言之就是将代码注入到另一个进程中,跨进程内存注入,即攻击者将其代码隐藏在合法进程中,长期以来一直被用作逃避检测的手段. ​ 进程注入方式可以分为DLL注入和shellcode注入,这两种方式本质上没有区别,在操作系统层面上,dll也就是shellcode的汇编代码。 代码框架 ​ 想法是尽量用一个通用的注入框架,有异常接收,令牌权限开启,获取进程PID的功能,只需要在main函数中调用不同的注入方式: #include "public.h" int main() { DWORD
什么是ring0-ring3
黄腾霄的博客
03-01 6230
大家可能听说过某个代码需要运行在ring 0的说法。但是ring 0究竟是什么,今天就给大家介绍下。 权限控制 我们都知道计算机中运行着许多的软件,有些软件是和硬件打交道的,比如驱动软件,操作系统软件,有些软件只是运行在操作系统之上的,比如浏览器,文本编辑软件等。 为什么要这样设计? 这是为了控制运行软件的权限,让一些特定的软件才能执行某些“危险”的行为,比如读写特定的内存等。 这里就引申出了我...
ring3 下隐藏进程
04-10
Ring3 下隐藏进程.txt
10种常见的进程注入技术的总结
热门推荐
qing666888的专栏
09-21 1万+
译者:myswsun 预估稿费:300RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 0x00 前言 进程注入是一种广泛应用于恶意软件和无文件攻击中的逃避技术,这意味着可以将自定义代码运行在另一个进程的地址空间内。进程注入提高了隐蔽性,也实现了持久化。尽管有非常多的进程注入技术,但是本文我只列举了10种常见的技术。我还提供了这些
你真的了解进程注入吗?
最新发布
weixin_65550121的博客
12-13 1458
这里的第一个参数还是跟上面一样进程的句柄,第二个参数设置为nullptr,第三个参数就是shellcode的大小,第四个参数表示指向一个应用程序定义的函数的指针,这个参数的类型为 LPTHREAD_START_ROUTINE,这里的第一个参数就是我们进程的句柄,第二个参数就是我们使用VirtualAllocEx申请的地址,第三个参数就是shellcode,第四个参数表示shellcode的大小,最后一个参数就是写入字节数的输出参数。对于要运行的进程,它必须有一个正在运行的线程,该线程是运行代码的组件。
Ring0和Ring3
weixin_43742894的博客
05-13 2800
Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3。 Windows只使用RING0和RING3,RING0只给操作系统用,RING3谁都能用。 如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息。因为有CPU的特权级别作保护。 ring0是指CPU的运行级别,ring0是最高级别,ring1次之,ring2更次之…… 以Li...
进程注入系列一之APC注入
weixin_46539164的博客
04-28 3497
什么是APC APC 是一个简称,全称为Asynchronous Procedure Call,叫异步过程调用,是指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制。 MSDN解释为: 相关函数 QueueUserApc:函数作用,添加制定的异步函数调用(回调函数)到执行的线程的APC队列中 APCproc:函数作用: 回调函数的写法. 核心函数 QueueUserAPC DWORD QueueUserAPC( PAPCFUNCpfnAPC, // APC function HANDLEhT
进程注入的三种方法
benny5609的专栏
09-13 3229
一般来说,这个问题有三种可能的解决方案:  1. 把你的代码放到一个DLL中;然后用 windows 钩子把它映射到远程进程。  2. 把你的代码放到一个DLL中;然后用 CreateRemoteThread 和 LoadLibrary 把它映射到远程进程。  3. 不用DLL,直接复制你的代码到远程进程(使用WriteProcessMemory)并且用CreateRemoteThread执行之。
Linux 函数调用劫持的方法总结(带图)
布袋和尚
06-24 905
Ring3中劫持Ring0中劫持Kernel Inline Hooksyscall table 修改内核调试机制 Kprobe在 Linux 中,动态库加载的时候,会按照以下顺序进行搜索:方法原理:通过 LD_PERELOAD 定义在程序运行前优先加载的动态链接库为自己编写的动态库。例子:劫持 gets() 函数 设置 LD_PRELOAD 编写一个测试程序 test.c 函数调用劫持效果 2.1、Kernel Inline Hook原理:一个系统调用会调用子函数的,这是通过段内偏移的方式完成
关于进程劫持注入的一点分析与思考
輚至消亡
04-03 2472
1. 劫持进程实现注入 今天我尝试对win10 x64上的计算器进程进行进程劫持注入。 劫持进程实现注入要执行如下步骤: 以挂起方式启动目标进程 采用其他注入方式将DLL注入目标进程 继续目标进程的主线程使目标进程继续运行 这种注入方式的优点: 被注入进程来不及做任何防御就会被注入。 因为以挂起方式启动进程,该进程的地址空间内除了目标进程的exe模块和ntdll.dll模块外 还来不及解析导入表将所需dll全部导入,也就是说作为防护的dll模块或者线程可能也来不及导入和执行,这大大提高了注入
创建进程挂起进程注入
02-08
下载请管理员帮忙修改下5分太多了。不会修改这个。 创建进程。挂起进程注入。然后可以做你想做的事情,比如修改不了PE头和各种恶心自检的文件。源码纯API,函数命令不提供了。想使用的自己添加一下,保证可以使用,希望大家自己动手添加函数命令这样记的更深刻。
ring3层恶意代码实例汇总
hl1293348082的专栏
03-25 727
之前一期我们学习了 IAT 的基本结构,相信大家对 C++ 有了一个基本的认识,这一期放点干货,我把 ring3 层恶意代码常用的编程技术给大家整理了一下,所有代码都经过我亲手调试并打上了非常详细的注释供大家学习,如下图: 我会在其中挑出几个,采用反汇编的方式,给大家展示恶意代码的执行流程以及原理,由于 ring3 层的技术过于古老,希望大家秉着学习和巩固的心态来看待该文章。 一共九种技术,十套源代码,分两期向大家介绍编程相关思路,希望大家与我一起学习,共同进步。 源码下载地址(稍后会把源码上传到
Ring3/Ring0的四种通信方式
Rodney443220的专栏
06-11 7897
21.1.5  DeviceIoControl函数与IoControlCode 打开驱动设备后,Ring3还要和驱动进行通讯或调用驱动的派遣例程,这需要用到一个非常重要的函数:DeviceIoControl。 BOOL DeviceIoControl(    HANDLE hDevice,           //设备句柄    DWORD dwIoControlCode,
第五章 进程注入之APC注入(附源码)
test\\的博客
12-01 1762
目录前言函数介绍QueueUserAPC函数语法参数返回值示例程序代码DLL代码测试原理学习 前言 APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理;如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。 函数介绍 QueueUserAPC函数 把一个APC对象加入到指定线程的APC队列中。
Ring3注入总结及编程实现【有码】
richard1230的博客
03-26 578
Ring3注入总结 导入表注入 挂起线程注入 挂起进程注入 调试器注入 注册表注入 钩子注入 APC注入 远程线程注入 输入法注入 DLL劫持 关于Ring3下的反注入思路 导入表注入 钩子注入 远程线程注入 DLL劫持: Ring3注入总结 导入表注入 静态注入的方法。修改PE文件,添加一个新节,修改导入表添加一个新的DLL实现注入。 挂起线程注入 ...
内核知识第七讲,内核中设备常用的三种通信方式,以及控制回调的编写
weixin_30765319的博客
01-16 125
        内核知识第七讲,内核中设备常用的三种通信方式,以及控制回调的编写 一丶ring3和ring0下的三种通讯方式 ring3和ring0下有常用三种通信方式: 1.缓冲区通信方式 2.直接IO通信方式 3.其它通信方式 缓冲区通信方式 我们的ring3和ring0通讯的时候.ring3会给一个虚拟地址. 然后内核中的参数会通过IRP来获取. 其中有个缓冲区. 我们只要操...
ring3实现进程保护
zzmzzff的博客
03-28 1625
Ring3下Hook进程有多种方法,其中有消钩子(Msg Hook)、线程注入(Insert Thread)和ShellCode等,前两种最为常见。以前用VB只能用shellcode,原因是VB不支持标准DLL,而VC则完全不成问题,下面说一下方法。消息注入是通过SetWindowsHookEx安装一个钩子(比如WH_GETMESSAGE)然后将DLL注入系统所有GUI进程,这样,大部分进...
Ring3 下隐藏进程
10-10 2501
library nthide;usesWindows,ImageHlp,TlHelp32;type SYSTEM_INFORMATION_CLASS = (SystemBasicInformation,SystemProcessorInformation,SystemPerformanceInformation,SystemTimeOfDayInformation,SystemNotImpleme
实现简单的ring3进程保护、hook OpenProcess函数、简单分析
weixin_34277853的博客
02-20 1096
简单的HOOK OpenProcess函数、达到不让任务管理器使用OpenProcess来获取我们要保护的进程的句柄、从而达到使任务管理器使用TerminateProcess无法结束该进程的目的、、、当我们HOOK到OpenProcess的时候、我们要在自己的MyOpenProcess中、判断一下、所打开的进程是否为我们要保护的进程、如果是简单的返回错误码0、如果不是就在我们...
Windows Ring3层DLL注入技术总结
"这文章除了介绍Windows x86/x64 Ring3层Dll注入的概念,还总结了六种Dll注入技术,并提供了权限提升的函数示例。" 本文主要探讨的是Windows操作系统中的Dll注入技术,特别是在Ring3层,即用户模式下的注入方法。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值