邪恶的RING0注射SHELLCODE

最新推荐文章于 2024-08-13 11:39:05 发布
最新推荐文章于 2024-08-13 11:39:05 发布
阅读量1.2k 收藏 2
点赞数
文章标签: 杀毒软件 thread 防火墙 制造 工具

ZwCreateProcessEx 是个非常非常好的东西,虽然他是个UNDOC.但是如果你仔细阅读过WIN2K的SRC,并且非常了解PE的运行机制,你会发现一些很有趣的东西。

这对目前的所有NT内核的系统来说都是致命的

可以用来做什么

1. 制造漏洞
2. 提升权限
3. 拿来写病毒
4. 拿来写各种木马
5. 各种ROOTKI

但是这里我只想很简单的说一下原理。我只希望这样的东西只用来讨论而已,当然这不是纯理论
在后面有个简单的EXAMPLES

其实你阅读过2K的SRC,分析过PE的加载,就会发现所有的进程在创建时都是由一个THREAD开始

而NtCreateThread有个很趣的参数 ThreadContext .这就是关键X:M

在任何进程创建时,第一次调用的 NtCreateThread 中的 ThreadContext->Eax 都是这个进程被分配
然而这个时候进程甚至没有开始加载,但正是这个没有被加载的进程,系统却已经为他分配好了一个正常进程所需要的一切

那么我们就可以利用这个地址用ZwAllocateVirtualMemory为我们的代码分配一段空间,

然后把我们的SHELLCODE写进去,我的这个例子仅仅是打开一个MessageBox并显示一句简单的字符串.

但是这并不妨碍你把你的病毒代码又或者是一整个木马写进去...只要你想
也许第一个 100% Ring0 Virus 或者 Ring0 Housr 就诞生了

在这只后,你只需要把ThreadContext->Eax的地址修正,进程就能被顺利的加载。
并且首先被运行的就是我的SHELLCODE, 并且这个小玩意只有一个SYS,除此之外再没有任何多余的东西了
下面是个例子只是为了证明这个理论可以变成实际,驱动没有做任何的处理。并且可以正常的加载与卸载, 也没有从链表中移走,你可以用任何驱动管理工具来终止他
在驱动加载后,你再运行任何的进程都将会被注入我的SHELLCODE.
PS: 请原谅我说的非常之模糊,毕竟我不想 100% Ring0 Virus 或者别的什么诞生与这篇文章
命令行 loader 加载 loader -u 卸载
如果这时候你用OD附加打开的进程,你会发现我的SHELLCODE就在你附加的进程的头部
仿佛天生就是这个进程的一部分,而实际上你不可能在这个进程的文件中发现他们。是不是很有趣,呵呵
而且可以注进目前的任何可执行文件,包括ICESWORD,卡巴,NOD32..想想某一天突然发现你的杀毒软件或者防火墙本身就是个木马或者毒源吧,那简直太有趣了
Examples
 此主题相关图片如下: 

===

vxk:很古老的了~
现在流行ZwMapViewOfSection的了~
唉~~

iiprogram
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shellcode注入驱动
SHELLCODE_8BIT的博客
02-21 2017
避坑 | Windows驱动签名经验贴 - FreeBuf网络安全行业门户
Ring0下的病毒诊断程序终于完成了
chenhui530的专栏
03-10 4548
在蓝了我N次屏的情况下,昨天完成了Ring0秒 的病毒诊断分析程序,初步测试效果还不错,自己模拟了些感染型病毒也能智能分辨出来,试着调试了些程序还算稳定,冰刃通过,但是在调试自己的进程管理器竟然蓝了,现在还在找原因。程序原理:使用SSDT HOOK来实现API的监管。对文件,进程,内存(只针对写,已经读写内核空间的函数) ,线程,驱动的加载进行了拦截以及一些常用的注入方式也进行了拦截。拦截函数
驱动开发:内核ShellCode线程注入
CSDN
06-14 7823
还记得`《驱动开发:内核LoadLibrary实现DLL注入》`中所使用的注入技术吗,我们通过`RtlCreateUserThread`函数调用实现了注入DLL到应用层并执行,本章将继续探索一个简单的问题,如何注入`ShellCode`代码实现反弹Shell,这里需要注意一般情况下`RtlCreateUserThread`需要传入两个最重要的参数,一个是`StartAddress`开始执行的内存块,另一个是`StartParameter`传入内存块的变量列表,而如果将`StartParameter`地址填充
探索ring0-内核漏洞概述 和 实验环境配置
WocW的博客
05-13 665
探索ring0 内核漏洞概述 内核漏洞的分类 ​ 运行在ring0上的操作系统内核、设备驱动、第三方驱动能共享同一个虚拟地址空间,可以完全访问系统空间的所有内存,而不像用户态进程那样拥有独立私有的内存空间。由于内核程序的特殊性,内核程序漏洞类型也更加丰富。 ​ 可以从漏洞的严重程度和漏洞的利用原理两个角度来对内核漏洞进行分类。漏洞的严重程度是指漏洞利用后所造成的危害;漏洞的利用原理指漏洞利用过程中使用的原理和技术。 ​ 按照漏洞严重程度依次可以分为:远程拒绝服务、本地拒绝服务、远程任意代码执行和本地权限提升
ie7 0day当中的shellcode的escape+xor21加密
09-06
总结来说,"ie7 0day当中的shellcode的escape+xor21加密"是一种高级的加密技术,它结合了VBScript和JavaScript的特性,通过对shellcode进行异或和URL编码的处理,来隐藏和混淆攻击代码,从而逃避安全检查。...
Custom Shellcode
05-16
Custom Shellcode 代码参考.
shellcode转unicode工具
06-13
这是一款超级便宜的shellcode转unicode工具,非常好用!
vbs shellcode转换escape加密
09-06
### vbs shellcode转换escape加密 #### 知识点一:Shellcode简介 Shellcode是一种小型的、可执行的机器码片段,常被用于利用软件漏洞进行攻击时植入恶意指令。它通常用来绕过安全机制并执行攻击者指定的操作,如...
用C++撰写shellcode.zip
10-06
**shellcode**是一种特殊的计算机代码,通常用于利用软件漏洞,以执行攻击者指定的任意代码。在本教程中,我们将探讨如何使用C++语言来编写shellcode,这是一门强大的编程语言,允许我们精确地控制内存和系统调用,...
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
ring0下注入DLL
yuanxiaobo007的专栏
01-24 2836
最近有在做一个东西,需要在ring0下拦截进程启动并注入DLL(dll用于hook ring3下的API),很多种实现方法,此处采用sudami大神提供的思路,另一位大侠提供的参考代码。虽然这个东西没什么技术含量,但对于我这种刚入门内核的人还是搞了很久才做出来,蓝屏很多,要注意很多细节. 思路:进程创建完时是一个空水壶,里面没有沸腾的热水(threads),于是系统调用NtCreateThrea
利用NTLDR进入RING0的方法及MGF病毒技术分析
iwmd24iwmd
01-17 208
利用NTLDR进入RING0的方法及MGF病毒技术分析 2010年08月02日   [b]以前看了莫国防病毒的源代码。摸到了一个进入RING0的方法。今天又在EST论坛看到了代码,随手写一个笔记吧。其实wowocock已经提及过这个了。我就在简单的说说,各位就别拍我了。笔记而已。。。主要要说的就是病毒进入RING0的方法,虽然现在说起来MGF病毒进入RING0的方法,已经算老技术了,但是...
自己重新写的KeUserModeCallBack 例子,比网上的代码改进很多,请大家指教!
gold0523的专栏
08-14 1783
标 题: 【分享】【原创】自己重新写的KeUserModeCallBack 例子,比网上的代码改进很多,请大家指教! 作 者: czcqq 时 间: 2011-08-09,01:49:10 链 接: http://bbs.pediy.com/showthread.php?t
DLL注入技术
Karka_的博客
08-11 394
DLL是windows平台提供的一种模块共享和重用机制,它本身不能直接独立运行,但可以被加载到其他进程中间接执行。DLL注入,是将代码插入/注入到正在运行的进程中的过程。本来是软件用于向其他程序添加/扩展功能、调试或逆向工程的一种合法技术。不过,后来恶意软件也常用这种方式来干坏事。是一种广泛应用于恶意软件和无文件攻击中的逃避技术。
Windows消息机制学习笔记(四)—— 内核回调机制
qq_41988448的博客
06-24 1052
消息机制学习笔记(四)—— 内核回调机制要点回顾内核调用实验1:理解内核调用第一步:编译并运行以下代码第二步:修改窗口过程函数,重新运行结论KeUserModeCallback分析KeUserModeCallback 要点回顾 1)GetMessage不仅能够取出消息,还能处理SentMessagesListHead队列中的消息 2)DispatchMessage()用于处理其它队列中的消息。 内核调用 描述:窗口过程函数除了会在消息循环中被调用,一些0环的代码也可以直接发起调用。 例如:窗口初始化时、窗口
驱动ShellCode注入
qq_18811919的博客
12-29 513
【代码】驱动ShellCode注入。
某超级注入程序的驱动逆向
被遗弃的庸才博客
11-05 2475
1、起因 从哥们儿那找到了一个超级注入的工具,打开一看加了vmp,然后还有驱动的驱动,于是这里把驱动提取出来,简单分析一下。 1.1运行 让程序先把驱动释放出来,可以看到这里需要买卡,然后才会释放驱动加载(简单破解一下就行,不是重点) 1.2破解之后 下一个CreateServiceA断点,让它在加载驱动之前断下,接着将驱动拷贝出来。从下图可以看到虽然驱动有签名,但是个过期签名,高版本windows10上是加载不上的。 2、驱动分析 好消息是驱动没有加壳,可以f5分析一下 2.1W.
[星瞳科技]如何用OpenMV制造三子棋机器人?
最新发布
SingTown_OpenMV的博客
08-13 220
1,图像识别很简单,先获取灰度图,然后在9个棋盘区域内,获取颜色信息,在OpenMV中使用statics完成。2,计算下一步棋应该怎么走,我的好朋友CHATGPT老师告诉我用minimax算法,并且给我写好了这部分的代码。3,机械臂控制也比较简单,在等候取子区,以及每个9宫格落子区,都获取机械臂的位置,通常可以通过示教功能来完成,因为我的机械臂只用了一天时间做的很赶,所以是通过代码直接看位置。机械臂是直接3D打印的,使用了3个舵机,可以直接通过OpenMV的舵机扩展板控制。1,图像识别,获得棋子数组。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值