隐秘内核模式注入器:Stealthy Kernel-mode Injector

最新推荐文章于 2024-05-31 19:34:41 发布
最新推荐文章于 2024-05-31 19:34:41 发布
阅读量331 收藏 5
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00037/article/details/139208431
版权

隐秘内核模式注入器:Stealthy Kernel-mode Injector

项目介绍

在黑客防御和安全研究的领域中,Stealthy Kernel-mode Injector是一个极具创新性的开源项目,它提供了一种高级的隐藏技术,用于在目标进程内存中秘密注入并执行代码。这个项目由一个用户模式客户端(Client.exe)和一个内核模式驱动程序组成,利用了PTE(分页表条目)操纵、虚拟地址描述符(VAD)管理和强制内存分配等技术,以实现对注入代码的深度隐蔽。

技术分析

项目的注入器部分支持以下策略:

  1. 篡改页面保护:通过修改PTE的执行位或VAD的保护标志,让API函数无法检测到可执行页面。
  2. 删除创建的VAD条目:分配内存后立即从VAD树中移除相应的条目,进一步消除痕迹。
  3. 强制性内存分配:选择性地将DLL写入进程地址空间的非典型区域,例如线程栈后面,避开反篡改解决方案的常规检查。

同时,内核模式驱动程序通过安全地在Windows内核中设置一系列钩子函数,实现了用户与内核间的安全通信。这种“链式”钩子机制使得对内核图像ntoskrnl.exe完整性检查变得更加困难,增加了反篡改防护的难度。

应用场景

Stealthy Kernel-mode Injector适用于以下场景:

  • 安全测试:评估目标系统的抗注入能力。
  • 研究与教学:理解高级注入技术以及内核级别的代码隐藏方法。
  • 开发防御工具:了解攻击者如何绕过现有的防御措施,从而改进防御策略。

项目特点

  • 极强的隐形性:通过多种手段隐藏注入代码,使其难以被反病毒软件或其他防护工具发现。
  • 创新的通信机制:内核驱动采用系列内核级钩子,实现用户和内核间的隐蔽通信。
  • 灵活的配置选项:用户可以通过命令行参数选择不同的注入策略,以适应不同的情景需求。
  • 编译时加密:驱动和客户端中的字符串在编译阶段即进行加密,增加了逆向工程的难度。
咎旗盼Jewel
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
C++无检测内核注入纯源码.zip
06-07
分享就是乐趣
kinject:内核Shellcode注入
03-25
亲缘关系 内核Shellcode注入 基本的 vs2019 + cpp + wdk 用法(仅64位) kdu -map sys.sys kinject -f shellcode_full_path -p pid
内核注入DLL
08-21
采用内核驱动侏注入方式,在程序启动的时候注入DLL。具体实现采用SSDTHOOk NtCreateProcess NtCreateThread等函数实现,待改进点:SSDT中未导出函数的地址获得方式(或索引获得方式)
N种内核注入DLL的思路及实现
lwglucky的专栏
03-18 7521
内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要驱动中去做的事,进程 /  DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。     若
内核注入
wowbell的专栏
03-02 1453
<br />内核注入,技术古老但很实用。现在部分RK趋向无进程,玩的是SYS+DLL,有的无文件,全部存在于内存中。可能有部分人会说:“都进内核了.什么不能 干?”。是啊,要是内核中可以做包括R3上所有能做的事,软件开发商们也没必要做应用程序了。有时,我们确实需要R3程序去干驱动做起来很困难或者没必要 驱动中去做的事,进程 / DLL是不错的选择,但进程目标太大,所以更多的同学趋向于注DLL。<br /><br /> 若要开发安全软件、小型工具,可借鉴其思路,Anti Rootkits时
安全之路 —— 利用内核函数实现注入系统进程
dengdao1372的博客
03-26 372
简介 在之前的文章中曾说过利用CreateRemoteThread函数进行远线程注入是最经典的一种方式。但是这种方式却无法成功注入系统进程,因为系统进程是处在SESSION0高权限级别的会话层,用户进程在执行CreateRemoteThread函数时会失败。所以经过前辈们的研究发现,CreateRemoteThread底层会调用内核函数ZwCreateThreadEx,而系统调用此函数...
Windows内核Dll注入(一)
最新发布
xsinlink的博客
05-31 905
近期在云桌面中遇到许多情况都需要对应用层程序的函数进行HOOK,并需要对函数参数进行各种修改,以便能够在虚拟桌面里面支持一些特性(尤其是一些3D的场景)。因此这里最主要的就是需要对HOOK的进程进行注入,来实现HOOK函数的功能。在早期开发中,就实现过DLL注入的功能,不过都是基于用户层的注入来实现的,例如有远线程注入,消息钩子注入,用户层OPE注入。HOOK注入的第一步是需要找到一个函数,这个函数可以确保所有的进程启动的时候都会被调用,这个函数就是。下面的文章主要是针对HOOK函数的注入,这个函数是。
内核模式 注入DLL
sgzwiz的专栏
03-03 3482
//用APC实现在内核模式运行用户程序 //昨天晚上弄到1点,总算把这个东西调通了,这个是老技术了,在rootkit上又篇文章讨论过,参考那篇文章我把这个东西弄出来了.代码贴在下面灌水,高手就不用看了...... //=====================================================================================// //N
DeeDee:Stealthy DDE Exploit有效载荷生成和DOCX文件注入
05-18
DeeDee Office有效负载生成 自2017年开始烘焙邪恶饼干作者:真正的恶魔 介绍 DeeDee是一个脚本,用于快速生成DDE Exploit有效负载并将其插入到现成的文档中,以进行针对MS Office用户的网络钓鱼尝试。 该脚本的...
AS-23-Bai-Stealthy-Sensitive-InformationAndroid-Apps.pdf
11-17
AS-23-Bai-Stealthy-Sensitive-Information-Collection-from-Android-Apps
内核线程注入x64
11-22
Win764位下通过驱动Attach到目标进程下再调用NtCreateThreadEx函数创建线程执行ShellCode来注入Dll。
Kernel-mode backdoors for Windows NT
10-19
This article is intended for those who know the architecture of the ...article examines issues involved in the development of kernel-mode tools for stealthy remote administration of Windows NT.
Stealthy File Integrity Checker-开源
05-06
"Stealthy File Integrity Checker" 是一款开源的文件完整性检查工具,主要用于监控系统中的文件是否被非法修改或篡改。这款工具以其隐蔽性而得名,可以低调地运行在后台,为用户提供对关键文件和系统文件的安全保障...
(论文笔记08.Y ou Are What Y ou Do: Hunting Stealthy Malware via Data Provenance Analysis(CCF B)2020)
ll14856lk的博客
12-28 1305
本文研究对象是stealthy malware,这种恶意软件难以检测的原因在于:因为恶意软件通常不会在文件中暴露其恶意负载(payload),而是将其恶意行为隐藏在进程的良性行为中。 概述 stealthy malware 1.stealthy malware将其恶意逻辑隐藏在良好信任进程的内存空间中,或者将其存储在很少有人关注的位置,如Windows注册表或服务配置。 2.stealthy malware最小化了常规文件系统的使用,相反,只使用网络缓冲区、注册表和服务配置的位置,以逃避传统的基于文件的恶意
内核线程注入(x86)
拉塞尔的博客
11-22 1429
这是我阅读BlackBone源码从里面扣出来的关于内核线程注入方法的使用。 主要通过Ring0层驱动Attach到目标进程然后调用NtCreateThreadEx来执行ShellCode,ShellCode做了一个注入Dll的简单行为。 关键函数如下: //切换到目标进程创建内核线程进行注入 NTSTATUS AttachAndInjectProcess(IN HANDLE Process...
内核线程注入(x64)
拉塞尔的博客
11-22 5770
阅读BlackBone源码从里面扣出来的关于内核线程注入方法的使用。 经过自己修改后做成的Demo,功能主要通过Ring0层驱动Attach到目标进程(目标进程可以是32位进程也可以是64位进程,使用不同的ShellCode进行注入操作),然后调用NtCreateThreadEx来执行ShellCode,ShellCode做了一个注入Dll的简单行为(加载Dll使用的是Ntdll模块下的LdrL...
再谈Linux内核模块注入(没有kernel header也能hack kernel)
Netfilter
05-07 5740
在前面的一篇文章中,我简单描述了一种Linux内核模块注入的方法: https://blog.csdn.net/dog250/article/details/105978803 本文,我们抛开Rootkit这个刺眼的字样,看看这种注入机制还有什么新的玩法。 我们知道,编写Linux内核模块必须要有对应版本的kernel header,并且版本号必须100%匹配,一个字都不能差,这对Linux内核模...
驱动开发:内核ShellCode线程注入
CSDN
06-14 7849
还记得`《驱动开发:内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

咎旗盼Jewel

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值