开源项目:Kernel-Process-Hollowing 指南

最新推荐文章于 2024-09-02 09:15:20 发布
最新推荐文章于 2024-09-02 09:15:20 发布
阅读量513 收藏 8
点赞数 16
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00217/article/details/141482922
版权

开源项目:Kernel-Process-Hollowing 指南

Kernel-Process-HollowingWindows x64 kernel mode rootkit process hollowing POC. 项目地址:https://gitcode.com/gh_mirrors/ke/Kernel-Process-Hollowing

项目概述

本指南旨在详细介绍位于 GitHubKernel-Process-Hollowing 开源项目。该项目专注于内核级进程空洞技术,一种高级的进程注入方式,广泛应用于安全研究与逆向工程领域。接下来,我们将深入探讨其目录结构、启动文件以及配置文件的相关信息。

1. 项目目录结构及介绍

Kernel-Process-Hollowing/
├── LICENSE
├── README.md         - 项目说明文档
├── src               - 源代码目录
│   ├── main.cpp      - 主程序入口
│   └── ...           - 其他相关源文件
├── includes          - 头文件目录
│   ├── kernelpinhole.h - 核心功能头文件
│   └── ...
├── build             - 编译后的输出目录(通常在实际操作中自动生成)
└── docs              - 文档资料,可能包括API说明等
  • LICENSE: 许可协议文件,描述了项目的使用和分发条件。
  • README.md: 提供项目简介、安装步骤和快速入门指南。
  • src: 包含项目的主要源代码文件,其中main.cpp是项目的启动点。
  • includes: 存放所有必需的头文件,对于理解项目架构至关重要。
  • builddocs 目录虽然不直接由用户创建或修改,但对编译过程和后期查阅非常关键。

2. 项目启动文件介绍

  • 主要文件:main.cpp
    • 此文件充当程序执行的起点,初始化并调用核心功能来演示或实现Kernel Process Hollowing技术。
    • 它负责加载必要的库,设置参数,并触发关键的进程空洞化流程。
    • 通过分析此文件,可以了解如何启动进程空洞化过程及传递给内核模式的参数。

3. 项目的配置文件介绍

由于该项目性质特殊,侧重于代码逻辑而非配置灵活性,传统意义上的配置文件可能并不明显存在。然而,项目的关键配置往往嵌入在源码中:

  • 配置信息一般存在于源代码内
    • 如特定函数的参数、宏定义(如DEBUG标志)、或是用于控制行为的常量值。
    • src目录下的源文件中寻找这些标志,尤其是那些能够影响项目行为的预处理器指令(#define)或全局变量。

请注意,对于高度专业化的安全研究项目,配置和设置往往较为隐晦且直接嵌入代码之中,开发者需细致阅读源码以找到这些“配置”点。上述结构和内容描述基于通用开源项目常规,具体细节还需参照项目最新的文档或源码注释进行确认。

Kernel-Process-HollowingWindows x64 kernel mode rootkit process hollowing POC. 项目地址:https://gitcode.com/gh_mirrors/ke/Kernel-Process-Hollowing

管翌锬
关注
Process_hollowing_x64
Mccc_li的博客
12-19 236
#define _CRT_SECURE_NO_WARNINGS #include <windows.h> #pragma comment(lib,"ntdll.lib") EXTERN_C NTSTATUS NTAPI NtUnmapViewOfSection(HANDLE, PVOID); char* decrypt(const char* string, short shift) { size_t len = strlen(string); unsigned short
Process-Hollowing 项目教程
gitblog_01106的博客
09-02 402
Process-Hollowing 项目教程 Process-HollowingProcess Hollowing in C++ (x86 / x64) - Process PE image replacement 项目地址:https://gitcode.com/gh_mirrors/pro/Process-Hollowing 1. 项目的目录结构及介绍 Process-Hollowing 项...
探索进程空洞化:C++ 实现的跨平台魔法(x86/x64)
gitblog_00026的博客
09-02 330
探索进程空洞化:C++ 实现的跨平台魔法(x86/x64) Process-HollowingProcess Hollowing in C++ (x86 / x64) - Process PE image replacement 项目地址:https://gitcode.com/gh_mirrors/pro/Process-Hollowing ???? 项目概览 在网络安全和技术研究的幽暗森林...
探索技术的深层魅力:Windows 内核模式进程空壳化实现
gitblog_00078的博客
06-03 378
探索技术的深层魅力:Windows 内核模式进程空壳化实现 Kernel-Process-HollowingWindows x64 kernel mode rootkit process hollowing POC. 项目地址:https://gitcode.com/gh_mirrors/ke/Kernel-Process-Hollowing 1、项目介绍 在信息安全的世界里,一些高级的技术手法...
探索恶意软件对抗:EvasiveProcessHollowing 项目详解
gitblog_00062的博客
06-17 288
探索恶意软件对抗:EvasiveProcessHollowing 项目详解 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 EvasiveProcessHollowing 是一个由Monnappa K A研究的白帽黑客技术实现,其灵感来源于论文《What Malware Authors Don't want you to know - Evasive Hollow Pr...
内存空洞
枫叶冷风
04-13 3655
堆内存释放,是从堆顶开始。那么如果堆中间的一块区域,大部分内存都释放了,堆顶还有一些会怎么样呢? 我们来看个例子: #include #include #include #include int main() { char *p[11]; int i; for(i=0;i { p[i]=(char *)malloc(1024*2); strcpy(p[i],"12
推荐开源项目HOLLOW - Cobalt Strike BOF
gitblog_00042的博客
05-25 357
推荐开源项目HOLLOW - Cobalt Strike BOF HOLLOWEarlyBird process hollowing technique (BOF) - Spawns a process in a suspended state, inject shellcode, hijack main thread with APC, and execute shellcode项目地址:h...
开源神器:Vulcan - 注入技术的全方位实践工具
gitblog_00037的博客
06-04 430
开源神器:Vulcan - 注入技术的全方位实践工具 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 Vulcan是一个单一的Visual Studio项目,它实现了多种注入技术,包括但不限于DLL注入、APC注射、Shellcode注入等。这个项目的主要目的是为安全研究人员和逆向工程师提供一个快速且易于使用的平台,用于验证和测试进程注入检测策略。 项目技术分析 该项目...
Non-uniform offsetting and hollowing objects by using biarcs fitting for rapid prototyping process
03-03
在现代制造领域,特别是快速原型制作(Rapid Prototyping, RP)过程中,非均匀偏置(non-uniform offsetting)与空心物体处理(hollowing objects)是两个重要的技术环节。这些技术的应用不仅能够提高生产效率,还能...
信息安全_数据安全_In NTDLL I Trust - Process Reima.pdf
08-22
这种技术的影响力可以与Process Hollowing(空壳进程)和Process Doppelgänging(双重人格进程)相提并论,都属于Mitre ATT&CK框架中的防御规避类别。恶意进程能在端点上持久存在,直到系统重启或在签名更新后进行...
Understanding Process Hollowing and its use in DLL Injection
## 1. 简介 ### 1.1 进程注入的背景 在计算机科学中,进程注入是一种常见的技术,用于将代码或者数据注入到正在运行的进程中。这一技术通常用于软件调试、恶意软件分析、以及对抗软件反病毒技术等领域。...
Toward Support-free 3D Printing: A Skeletal Approach for Partitioning Models笔记
weixin_48404229的博客
04-25 455
声明:文中所有观点仅代表个人见解,若有不妥之处欢迎指正。 这篇论文于2017年 被 SCI 2区 "IEEE Transactions on Visualization and Computer Graphics"录用。原文链接:https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=8086214 目录 1.Overview 2.Skeleton 3.Feasible printing direction 可打印方向范围的定义: 4.Objec
X3手薄试用的工程之星3.0
10-27
X3手薄试用的工程之星3.0
传感器+绘制.alp
10-27
Android andlua androlua lua实战工程
基于聚类和分通道场景识别(CAD&CG)
10-27
基于聚类和分通道场景识别(CAD&CG)
yolo算法-水底垃圾检测数据集-1121张图像带标签-宏观塑料detection-dpdol.zip
最新发布
10-27
yolo系列算法目标检测数据集,包含标签,可以直接训练模型和验证测试,数据集已经划分好,适用yolov5,yolov8,yolov9,yolov7,yolov10,yolo11算法; 标签格式(也可转成voc格式):<class> <x_center> <y_center> <width> <height> 其中: <class> 是目标的类别索引(从0开始)。 <x_center> 和 <y_center> 是目标框中心点的x和y坐标,这些坐标是相对于图像宽度和高度的比例值,范围在0到1之间。 <width> 和 <height> 是目标框的宽度和高度,也是相对于图像宽度和高度的比例值
活动回调.alp
10-27
Android andlua androlua lua实战工程
微信_1.0_190427143944.alp
10-27
Android andlua androlua lua实战工程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

管翌锬

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值