【加密与解密(第四版)】第十二章笔记

最新推荐文章于 2025-03-25 21:35:14 发布
最新推荐文章于 2025-03-25 21:35:14 发布
阅读量498 收藏 5
点赞数 5
分类专栏: 【加密与解密(第四版)笔记】 文章标签: 笔记 windows 安全 反汇编 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58213960/article/details/139123320
版权

第十二章 注入技术

12.1 DLL注入方法

在通常情况下,程序加载 DLL的时机主要有以下3个:一是在进程创建阶段加载输入表中的DLL,即俗称的“静态输人”;二是通过调用 LoadLibrary(Ex)主动加载,称为“动态加载”;三是由于系统机制的要求,必须加载系统预设的一些基础服务模块,例如Shell扩展模块、网络服务接口模块或输人法模块等。因此,在进行 DLL注人时,也不外乎通过这3种手段进行。

静态修改PE输入表法、进程创建期修改PE输入表法(以挂起方式创建目标进程、获取目标进程中的PE结构信息、获取原IID大小,增加一项,搜索可用的节空隙、构造新的IID及与其相关的OriginalFirstThunk,Name,FirstThunk结构、修正PE映像头、更新目标进程的内存、继续运行主进程)、输入表项DLL替换法(DLL劫持)

CreateRemoteThread法、RtlCreateUserThread法、APC注入、SetThreadContext法、WriteProcessMemory

SetWindowHookEx消息钩子……

12.2 DLL注入的应用

驱动层防范:1.KeUserModeCallback防全局消息钩子注入、

NtMapViewOfSection/LoadImageNotify 对模块进行验证、拦截进程打开、读、写,以及创建远线程、发送 APC 等操作、Call Stack 检测非法模块

应用层防范:通过 Hook LoadLibraryEx函数防范全局钩子、输入法注入、在DllMain中防御远程线程、枚举并查找当前进程中的非法模块和可疑内存、Hook ntdll中的底层函数进行 Call Stack 检测

这一章内容博大精深,要学不完力

DLL注入技术
Hu4
02-27 446
DLL注入方法:在进程创建阶段加载输入中的DLL(静态输入);通过调用LoadLibrary(Ex)主动加载(动态加载);由于系统机制的要求们必须加载系统预设的一些基础服务模块。 1、静态修改PE输入法 准备工作:dll,导出Msg()函数 修改对象:notepad.exe 修改目标:启动NOTEPAD.EXE时能够加载MsgDLL.DLL MsgDLL.dll的主要功能是在Dllm...
进程创建修改PE输入法注入
playmaker的博客
03-29 459
进程创建修改PE输入法注入 程序定义 CImage类 内部包含了一些有关PE结构的变量和一些函数函数列如下 findImagebase() AttachToProcess() InitializePEHeaders() AddNewSectionToMemory() LocateSectionByRVA() ALIGN_SIZE_UPALIGN_SIZE_UP(Size,Alignment...
第12天:《加密解密》-注入技术(一)
S1lenc3的博客
11-11 280
三种注入方法: 静态输入 动态加载 系统机制要求 通过干预输入处理过程加载目标DLL 静态修改PE输入法 直接修改PE文件十六进制数据。 备份原IID结构 在原IID区域构造新IID的OriginalFirstThunk、Name、FirstThunk结构 填充新输入项的IID结构 修正PE文件头的信息 进程创建修改PE输入法 通过修改PE文件...
Windows Ring3层注入——修改PE输入(导入)注入(一)
qq_38493448的博客
01-16 1416
Windows Ring3层注入——修改PE输入(导入)注入(一)PE文件简单介绍PE文件相关名词解释PE文件磁盘内存映像结构图输入介绍输入结构输入注入原理PE输入注入的两种方法静态修改PE文件法:进程创建修改PE输入法:输入注入核心代码示例 PE文件简单介绍 PE(Portable Execute)文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SY...
detours 通过修改输入注入DLL
Lassewang的成长历程
08-14 3144
前段时间有一个需求,就是在进程启动的第一时间实现dll的注入,当时一想以为很简单嘛,比如拦截CreateProcessInternalW等不就行了吗?后来发现如果你在CreateProcessInternalW前处理进程还没有启动,而之后处理的话,进程的主线程已经开始工作了,再后来通过修改创建标志把创建进程的主线程挂起,等进程创建后我来注入,此时才发现创建远线程搞不定, 此时进程只有NTDLL,
加密解密第四版)】第二十五章笔记
m0_58213960的博客
05-24 342
注册Windows操作系统的配置数据库。25.1 硬盘数据的获取和固定。取证专用的Linux可启动光盘。25.2 硬盘的分区和数据恢复。电子数据的固定(HASH值)利用取证计算机复制硬盘。25.4 动态仿真技术。
加密解密第四版)】第二十章笔记
m0_58213960的博客
05-24 417
例如,80x86汇编指令是在CPU里执行的,而字节码指令系统是通过解释指令执行的(这里谈到的字节码指令执行系统是建立在x86指令系统上的)。Java的JVM、.NET或者其他动态语言的虚拟机都是靠解释字节码来执行的,但因为每个系统设计的字节码都是供自己使用的,不会兼容其他系统,所以它们的字节码并不通用。指令分类:普通指令(算术指令、数据传输指令)、栈指令、流指令(JMP、CALL、RETN)、不可模拟指令(int3、sysenter、in、out)20.2 启动框架和调用约定。
加密解密第四版)】第二十三章笔记
m0_58213960的博客
05-24 304
增加区块(增加一个块头、增加块头指向的数据段、调整文件映像的尺寸(SizeOfImage))修改输入中的IID成员,增加输入函数。利用区块空隙(注意区块属性)23.3 获得函数的调用信息。23.4 代码的重定位。23.5 增加输出函数。23.8 DLL扩展。
软考-高级-信息系统项目管理第四版(完整24章全笔记
热门推荐
weixin_44934104的博客
09-08 3万+
包 括:信息系统、业务应用信息系统、信息安全系统、信息系统工程、业务应用信息系统工程和 信息安全系统工程等业务应用信息系统是支撑业务运营的计算机应用信息系统,信息安全系统工程是指为了达到建设好信息安全系统的特殊需要而组织实施的工程。项目经理由执行组织委派, 负责领导团队实现项目目标。①制定项目章程:②制订项目管理计划:③指导管理项目工作:④管理项目知识:⑤监控项目工作:⑥实施整体变更控制:项目范围管理过程包括:规划范围管理;收集需求;定义范围;创 建WBS;确认范围;控制范围;
数据库系统概论第五版(第 4 章 数据库安全性)笔记
m0_61481871的博客
03-28 8589
数据库安全笔记,本文包含了数据库系统概论的第四章内容全部笔记,有需要的同学可以查看,同时可以订阅本栏,将更新下去直到完结
Java核心技术· 卷二(11版)笔记(第 9-12章)
weixin_43647460的博客
11-16 585
Java平台模块系统是Java 9中引入的一个新特性,它可以更好地管理Java应用程序的依赖关系,提高应用程序的可扩展性和安全性。模块系统可以将Java应用程序的代码组织为独立的模块,每个模块都有自己的接口和实现。模块可以声明自己的依赖关系,并且只会导出需要公开的API,从而减少了依赖项的耦合性和可能出现的命名冲突。同时,模块系统还提供了更好的可见性和访问控制,允许开发人员更好地控制代码的复杂性和安全性。在Java 9的模块系统中,一个模块是一个可以进行依赖管理和版本控制的独立单元。每个模块都有自己的名称、
信息系统项目管理师第四版知识摘编:第2章 信息技术发展
Programming Talk
03-22 2339
当前,深度学习技术是自然语言处理的重要技术支撑,在自然语言处理中需应用深度学习模型,如卷积神经网络、循环神经网络等,通过对生成的词向狱进行学习,以宪成自然语言分类、理解的过程。从区块链的技术体系视角看,区块链基于底层的数据基础处理、管理和存储技术,以区块数据的管理、链式结构的数据、数字签名、哈希函数、默克尔树、非对称加密等,通过基于P2P网络的对称式网络,组织节点参数据的传播和验证,每个节点均会承担网络路由、验证区块数据、传播区块数据、记录交易数据、发现新节点等功能,包含传播机制和验证机制。
计算机软考中级-信息安全工程师-备考笔记第一天-2第1章网络信息安全概述
m0_37541178的博客
10-31 1174
信息安全工程师(第2版)教程,第1章内容
[DLL注入的方法]进程创建修改PE输入
diheqiu3577的博客
09-03 462
  进程创建修改PE输入法的原理和静态修改PE输入完全相同,可以在R3/R0的各个阶段进行干预(必须在主线程运行之前)。 1.以读写方式打开目标文件: 2 //以读写方式打开目标文件 3 HANDLE hFile = CreateFile(szImageFilePath, 4 GENERIC_READ|GENERIC_WRITE, ...
深入剖析PE文件(续1)---扩展知识
A00553344的专栏
12-17 3110
 不赖猴的笔记,转载请注明出处。一、        Windows加载器加载器读取一个PE文件的过程如下:1. 先读入PE文件的DOS头,PE头和Section头。2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定
苍穹外卖学习笔记
2301_77599154的博客
03-21 1668
1).用户层本项目中在构建系统管理后台的前端页面,我们会用到H5、Vue.js、ElementUI、apache echarts(展示图)等技术。而在构建移动端应用时,我们会使用到微信小程序2).网关层Nginx是一个服务器,主要用来作为Http服务器,部署静态资源,访问性能高。在Nginx中还有两个比较重要的作用: 反向代理和负载均衡, 在进行项目部署时,要实现Tomcat的负载均衡,就可以通过Nginx来实现。3).应用层。
python速通小笔记-------2.类和对象
2301_80374809的博客
03-22 584
类似c++中类的this指针可以看到,这是类内部定义的一个函数,参数必须要有self,而且访问类的内部成员时要带上 self.成员变量。
Linux Shell 基础操作笔记
最新发布
Tttian622的博客
03-25 287
涵盖了Linux Shell的基础操作,包括目录导航、文件操作、权限管理,以及Shell脚本编程的基本语法和常用功能。通过实践这些命令和脚本编写技巧,可以高效地进行Linux环境下的开发和系统管理任务。
《AI大模型开发笔记》企业RAG技术实战(二)
qq837993702的博客
03-23 876
接上一篇《AI大模型开发笔记》企业RAG技术实战(一)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

NovFif

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值