傀儡进程原理及调试

最新推荐文章于 2023-08-13 12:20:10 发布
最新推荐文章于 2023-08-13 12:20:10 发布
阅读量3.2k 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hurricane_0x01/article/details/52184318
版权

傀儡进程创建过程:

(1) CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED;

(2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB;

(3) ZwUnmapViewOfSection卸载挂起进程内存空间数据;

(4) VirtualAlloc分配内存空间;

(5) WriteProcessMemory将恶意代码写入分配的内存;

(6) SetThreadContext设置挂起进程状态;

(6) ResumeThread唤醒进程运行。

傀儡进程是恶意软件隐藏自身代码的常用方式,在调式过程中,若遇到傀儡进程,需要将创建的子进程数据从内存中dump出来,作为PE文件单独调试,dump的时机为ResumeThead调用之前,此时傀儡进程内存数据已经完全写入,进程还未正式开始运行。

若dump后文件无法运行,OD加载失败,则需要做如下修复:

(1) FileAlignment值修改为SectionAlignment值;

(2) 所有section的Raw Address值修改为Virtual Address.


参考:

http://www.programlife.net/puppet-process-memory-dump.html

小黑话不多
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows傀儡进程实现C++代码
04-28
Windows平台傀儡进程实现,采用C++, vs2008实现,完美实现
傀儡进程
weixin_42539095的博客
12-07 548
常见傀儡进程流程: (1)CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB; (3) ZwUnmapViewOfSection卸载挂起进程内存空间数据; (4) VirtualAlloc分配内存空间; (5) WriteProcessMemory将恶意代码写入分配的内存; (6) SetThreadContext设置
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏)
weixin_44891742的博客
07-26 5636
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏)
傀儡进程技术分析
darcy_123的博客
10-13 972
前言: 傀儡进程是将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程;常常有恶意程序将隐藏在自己文件内的恶意代码加载进目标进程,而在加载进目标进程之前,会利用ZwUnmpViewOfSection或者NtUnmapViewOfSection进行相关设置 相关技术要点 1.创建挂起进程 系统函数CreateProcessW中参数dwCreation传递CREATE_SUSP...
EXE注入分析之傀儡进程
酷酷的鱼 - 网络编程,服务器安全专栏
01-15 3285
最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了, 但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释, 方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下, 说错的地方请各位大神指正,板砖吐口水都可以。 --- 我是淫荡的分割线--- 提到傀儡进程,首先想到的
dll注入系列——傀儡进程
40KO的博客
04-11 963
0x0介绍 之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入。 傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...
傀儡进程学习
0xDQ的博客
10-05 3911
0x00 前言 最近做了一道18年swpuctf的题,分析了一个病毒,正巧都用到了傀儡进程,就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章,如有错误,还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录,再拼上GAME.EXE 进入sub_4011D0 首先寻找资源,做准备工作,进入sub_4012C0 1)检测PE结构 2)CreateProcessA 创建进程 3)GetThreadContext...
创建傀儡进程svchost.exe并注入DLL文件(Shellcode)
【Rainbow Network Technology co., LTD】
08-13 513
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。
傀儡进程注入
qq_40710190的博客
05-08 905
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
[Rootkit] 傀儡进程
LYSM
08-16 1183
实现原理: 以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。 实现过程: (1).调用CreateProcess以挂起的方式(CREATE_SUSPENDED)创建进程 (2).调用VirtualAllocEx函数申请一个可读、可写、可执行的内存 (3).调用WriteProcessMemory将Shellcode数据写入刚申请的内存中 (4).调用Ge
进程隐藏,
02-23
远程线程注入,例子中是注入到“CALC.EXE”你可改成任何其他的进程
工具傀儡.jar
07-28
放入mod文件夹下即可,但注意在联机下这个mod会攻击其他联机玩家。
易语言注入DLL置目标进程
07-22
易语言注入DLL置目标进程源码,注入DLL置目标进程,InjectDll,SwingingWindow,CloseHandle,GetProcAddress,OpenProcess,VirtualAllocEx,GetModuleHandleA,WriteProcessMemory,CreateRemoteThread,CopyMemory
傀儡SQL批量扫描注入工具
07-14
注:仅供学习使用,不能用于非法用途,大家可以根据需要下载。
傀儡扫描注入
05-09
扫描注入点的一个神器.......................................................................................................................................................................................
2024-2030全球与中国低脂凝乳奶酪市场现状及未来发展趋势.docx
04-30
2024-2030全球与中国低脂凝乳奶酪市场现状及未来发展趋势
毕业设计:vue+springboot乌鲁木齐南山冰雪旅游服务网站(源码 + 数据库 + 说明文档)
04-30
毕业设计:vue+springboot乌鲁木齐南山冰雪旅游服务网站(源码 + 数据库 + 说明文档) 2 开发工具及技术 2 2.1 B/S结构的介绍 2 2.2 JSP及SpringBoot技术的介绍 2 2.3 HTML及Vue技术的介绍 2 2.4 MYSQL数据库的介绍 3 2.5 开发环境的介绍 3 3 需求分析 4 3.1 可行性分析 4 3.2 功能需求分析 4 3.3 非功能需求分析 4 4 总体设计 6 4.1 系统总体结构设计 6 4.2 系统的数据库设计 6 5 系统功能实现 6 5.1 注册用户 6 5.2 管理员用户 6 6 系统测试 6 6.1 测试目的 6 6.2 测试内容 6 6.3 测试总结 6
C# 超简单的离线人脸识别库 ( 基于 SeetaFace6 ).zip
04-30
c
华为数字化转型实践28个精华问答.docx
最新发布
04-30
华为数字化转型实践28个精华问答.docx
傀儡sql注入批量扫描工具
11-03
傀儡SQL注入批量扫描工具是一种用于检测和扫描网站是否存在傀儡SQL注入漏洞的软件工具。傀儡SQL注入是一种常见的网络安全漏洞,攻击者可以利用该漏洞来获取数据库中的敏感信息,或者更严重的情况下,完全控制受攻击的网站。 这种工具的工作原理是自动化扫描一系列的URL链接,检查这些链接是否存在傀儡SQL注入漏洞。工具会自动发送带有特殊注入代码的请求,以尝试从数据库中获取未经授权的数据。如果网站存在注入漏洞,工具将会提供相应的警报或报告。 使用傀儡SQL注入批量扫描工具的好处是可以快速发现并修复潜在的漏洞。通过自动化扫描,工具可以在短时间内检查大量的URL链接,从而节省了人工扫描的时间和精力。同时,工具还可以提供详细的报告,包括漏洞的类型、位置和可能的危害程度,帮助网站管理员更好地了解漏洞的风险,并采取相应的措施进行修复。 然而,傀儡SQL注入批量扫描工具只是发现漏洞的工具,不能替代人工的安全评估和修复过程。因此,在使用这种工具时,网站管理员仍然需要监测并验证扫描结果,确保没有误报或漏报。此外,修复漏洞也需要采取正确的措施,例如升级软件、过滤输入等,才能有效地防范傀儡SQL注入攻击。 总之,傀儡SQL注入批量扫描工具在网络安全领域发挥着重要的作用,可以帮助网站管理员快速发现和修复潜在的傀儡SQL注入漏洞,从而提高网站的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值