病毒分析教程第七话--进程注入分析(下)

最新推荐文章于 2020-12-06 03:39:22 发布
最新推荐文章于 2020-12-06 03:39:22 发布
阅读量484 收藏 4
点赞数 1
分类专栏: 恶意软件分析 文章标签: 安全 进程注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/88718655
版权
这篇教程详细介绍了进程注入分析,以样本Lab12-04.exe为例,展示了如何动态获取API地址、劫持winlogon进程以及替换系统文件。样本首先遍历进程寻找winlogon,接着停止系统文件保护机制,然后篡改wupdmgr.exe进行病毒自更新。分析过程中使用了IDA和Resource Hacker等工具。
摘要由CSDN通过智能技术生成

进程注入分析(下)

教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm

Lab 12-4

本节实验使用样本Lab12-04.exe。

拿到样本,我们先使用IDA看下导入表,了解下样本的大概功能。通过这些函数我们猜测样本做了提权、创建读写文件、遍历进程和操作资源节等操作。
1
现在开始看样本的 main 函数,它主要分为3大部分:动态获取API函数地址、劫持winlogon进程、替换系统文件。

下图是第1部分获取API地址环节,样本通过 GetProcAddress 动态获取 EnumProcessModules、GetModuleBaseName、EnumProcesses 的地址。
2
第2部分是劫持winlogon环节,样本会先调用 EnumProcess 遍历系统中的进程,然后调用 0x401000 和 0x401174 搜寻 winlogon 并对其执行恶意操作。

最低0.47元/天 解锁文章
G4rb3n
关注
专栏目录
进程注入方法详细介绍
Sumarua的博客
07-01 177
进程注入是一种技术,攻击者将恶意代码注入到合法的系统进程中运行。这种方法可以使恶意代码看起来像是合法进程的一部分,从而逃避安全软件的检测。通过注入合法进程,攻击者可以利用该进程的权限,并在系统中隐蔽存在。
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析
热门推荐
杨秀璋的专栏
04-20 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。
病毒分析教程第七--进程注入分析(上)
安全杂货铺
02-14 951
进程注入分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-1 本节实验使用样本Lab12-01.exe和Lab12-01.dll。 在你运行恶意代码可执行文件时,会发生什么? Lab12-01.exe调用了CreateRemoteThread、WriteProcessMemory等函数,不难想象它进行了进程注入...
病毒分析教程第七--进程注入分析(中)
安全杂货铺
02-18 588
进程注入分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-2 & Lab 12-3 本节实验使用样本Lab12-02.exe。 这个程序的目的是什么? 从资源节加载恶意payload,然后注入到svchost.exe进程中运行。 启动器恶意代码是如何隐藏执行的? 使用PE注入的方式将恶意PE注入到...
进程注入的步骤
weixin_34381666的博客
09-16 127
使用CreateRemoteThread和LoadLibrary技术的步骤如下: 1.得到远程进程的HANDLE(使用OpenProcess)。 2.在远程进程中为DLL文件名分配内存(VirtualAllocEx)。 3.把DLL的文件名(全路径)写到分配的内存中(WriteProcessMemory) 4.使用CreateRemoteThread和LoadLibrary...
进程注入方法
traum的专栏
08-06 3503
                为了对内存中的某个进程进行操作,并且获得该进程地址空间里的数据,或者修改进程的私有数据结构,
21春南开大学《计算机病毒分析》在线作业-2参考答案.docx
10-23
19. 直接将恶意代码注入到远程进程中的是进程注入。 20. 运行 DLL 文件的语法格式正确的有 C:rundll32.exe rip.dll, Install 和 C:rundll32 rip.dll 等。 21. 在获取不到高级语言源码时,从机器码中能可信并保持...
程序注入教程集合
qq_35189120的博客
09-27 897
远程线程注入DLL 远线程注入原理是利用Windows 系统中CreateRemoteThread()这个API,其中第4个参数是准备运行的线程,我们可以将LoadLibrary()填入其中,这样就可以执行远程进程中的LoadLibrary()函数,进而将我们自己准备的DLL加载到远程进程空间中执行。 选LoadLibrary 函数原因: 首先,它可以把一个Dll载入内存空间,并执行DLL初始化...
关于病毒模块插入系统、应用程序进程的问题
weixin_34413802的博客
11-08 143
最近,在论坛看帖子时发现:中毒后,杀而不净的现象比较普遍。更有甚者,毒没杀净,杀软反而被干掉了。其实,这也不是什么新鲜事,针对各有名杀软的病毒早就有。卡巴斯基这样的名杀软被病毒干掉也不是什么新鲜事。 不废了。言归正传。 中毒后,杀不净,常见的原因之一是病毒插入了系统/应用程序进程。 不将被插进程中的病毒模块处理掉,毒是杀不净的。 如何发现进程被插?常见...
木马隐藏技术(3) -- 进程注入
weixin_30511107的博客
08-09 540
此为《木马技术揭秘与防御》系列读书笔记 进程注入prerequirement 类似的说法: 线程插入、DLL注入、远程线程插入 线程插入: 让一个线程在别的进程中执行 DLL文件隐藏的原理: dll文件不能单独运行,需要由进程(宿主)加载并调用。因为不能单独运行,dll文件就不会在进程管理器中出现,于是入侵检测软件和进程列表中都只有宿主进程的id,而找不到dll。 进程注...
病毒分析教程第十一 -- 使用IDA内存快照获取函数&变量
安全杂货铺
02-28 1366
样本下载地址: https://www.hybrid-analysis.com/sample/31e8a11960d0492b64241354c567643f09f0e0278658d31e75d6f2362dbfae44/589f6600aac2ed382956ce75?lang=zh
病毒分析教程第九--使用IDA远程调试
安全杂货铺
12-26 1087
恶意软件为了避免静态检测,通常会动态生成&调用敏感的字符串及系统API,这种情况就无法单纯使用IDA进行分析了,得进行调试动态地获得这些值。而IDA有个远程调试的功能,很实用,我们下面就来学习如何使用IDA进行远程调试。样本还是上一章的样本:F834F898969CD65DA702F4B4E3D83DD0 我们首先运行下样本,发现该样本会创建一个新的进程并运行,这个应该是我们上一章提到的病...
病毒分析教程第八--idapython使用
安全杂货铺
12-25 598
idapython使用 IDAPython是IDA的一款强大的插件,通过它可以对病毒代码做一些自动化的操作,常用于汇编码反混淆和解密。接下来我们尝试使用该工具来解密病毒代码。 本次实验的样本为:F834F898969CD65DA702F4B4E3D83DD0,先使用IDA打开它,目光聚焦到上面的导航栏,有一大段绿色的数据,位于0x40C030,直觉告诉我,这是段加密后的可执行文件。 在unk_4...
openprocess 提升权限结束进程(来自网络)
scollins的专栏
07-10 6747
<br />1、进程相当于系统提供的一个平台,它可以包括一个或多个线程,如IE是个进程, <br /><br />  打开多个网页是它的多个线程,把IE进程Kill掉即可关闭多个打开网页的线程。 <br /><br />  2、98和NT不一样。98下可以用CreateToolhelp32Snapshot函数Process32First和 <br /><br />  Process32Next来枚举当前所有进程进程ID(先调用函数CreateToolhelp32Snapshot) <br /><br />
OpenProcess函数打开进程权限不够??
KOOKNUT的博客
05-08 4534
我们会遇到OpenProcess函数失败的情况,通过GetLastError函数发现其错误代码为5,VS查看之后发现拒绝访问: 这是因为用OpenProcess打开一些普通进程是可以的,但是要打开的是系统安全进程(如System、Winlogon、smss、csrss、services、lsass等)或是一些注册为服务的进程时,就会遇到拒绝访问的情况。此时我们该如何解决这个问题呢? 解决这个问题只需要当前进程具有SeDebugPrivilege权限就可以了。打开权限相关的函数有: OpenProcess
安全信息应用到以下对象时发生错误 拒绝访问_Windows访问令牌窃取攻防技术研究...
weixin_39614546的博客
12-06 3336
(本文转自安全客)在本文中,我们介绍了访问令牌窃取的相关概念,以及如何在winlogon.exe上利用该技术从管理员上下文中模拟SYSTEM访问令牌。MITRE ATT&CK将该技术归为Access Token Manipulation(访问令牌操控)类别。如果本地管理员账户因为某些组策略(Group Policy)设置无法获取某些权限,此时模仿SYSTEM访问令牌是非常有用的一种技术。比...
Windows 系统文件保护(续)
都市夜猫的专栏
08-07 1206
研究了一晚上,发现:第一种方法并不容易实现,而且过程繁琐第二种方法可以实现,但由于需要采用远程注入的方式来调用未公开函数 SfcTerminateWatcherThread(sfc_os.dll 中序号为 2,此函数必须在 WinLogon 进程内调用才生效),这样就存在一个限制,因为要调用 CreateRemoteThread 在 WinLogon 进程空间内创建远程线程,而这个功能会被很多病毒
进程注入后门工具Cymothoa
weixin_34199405的博客
06-26 290
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值