[笔记]Windows安全之《三》Shellcode 补充之 Get-InjectedThread脚本搭建环境及其使用

已于 2022-06-09 10:02:56 修改
阅读量793 收藏
点赞数
分类专栏: windows 安全 文章标签: 安全
于 2022-06-08 19:13:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1113673178/article/details/125190449
版权
windows 同时被 2 个专栏收录
34 篇文章 30 订阅
订阅专栏
安全
10 篇文章 1 订阅
订阅专栏

Get-InjectedThread脚本源地址

文章目录

前言

如何在内存中检测恶意软件

Get-InjectedThread.ps1是一个可以扫描系统上的活动线程可疑的起始地址的脚本。用户可以利用它扫描其网络中的主机,并快速识别许多内存常驻恶意软件技术。该脚本通过使用NtQueryInformationThread函数查询每个活动线程来检索其起始地址。然后,使用VirtualQueryEx函数查询起始地址,以确定相关的节点属性。如果线程启动的存储器区域是未回调的并且是可执行的,即不是映像类型并且具有执行位设置,那么该线程就被认为是注入的。

Get-InjectedThread原理

防御者也在思考可视化(一)

  • 使用ProcessId 为0(所有进程)并将Flag参数设置为4(TH32CS_SNAPTHREAD)调用Create Toolhelp Snapshot。这将返回所有当前正在运行的线程的快照。
  • 使用Thread32First和Thread32Next处理快照中的所有线程。

以下每个步骤都将在每个线程上执行:

  • 调用OpenThread以接收内核中的Thread对象的句柄。
  • 使用Thread句柄,为ThreadInformationClass参数指定值为9(ThreadQuerySetWin32StartAddress)的NtQueryInformationThread。这将返回线程的内存起始地址。
  • 调用OpenProcess来接收当前线程拥有进程的句柄。
  • 将进程句柄和线程起始地址传递给VirtualQueryEx以查询目标内存页面。这将返回一个MEMORY_BASIC_INFORMATION结构。
  • 检查返回结构中的State和Type字段。
  • 所有线程的状态应该是MEM_COMMIT
  • 所有线程的类型应为MEM_IMAGE
  • 如果Type不等于MEM_IMAGE,那么你有一个正在运行代码的线程,这个线程不会被磁盘上的文件(又名注入)所支持。

环境搭建

win10 1903
powershell 5.1
powershell PackageManagement
PowershellGet

PowershellGet安装

Installing PowerShellGet on Windows

PowershellGet的安装非常重要 不然后面脚本会抛异常:
在这里插入图片描述

设置脚本运行权限

Set-ExecutionPolicy RemoteSigned

PowerShellGet和NuGet安装

Install-Module PowerShellGet -AllowClobber -Force
Install-PackageProvider -Name NuGet -Force

PSReflect-Functions模块安装

Install-Module PowerShellGet -AllowClobber -Force
Install-Module -Name PSReflect-Functions

TLS版本设置

[Net.ServicePointManager]::SecurityProtocol = [Net.ServicePointManager]::SecurityProtocol -bor [Net.SecurityProtocolType]::Tls12

设置PSGallery仓库可信任

Set-PSRepository -Name PSGallery -InstallationPolicy Trusted

脚本下载

https://gist.github.com/jaredcatkinson/23905d34537ce4b5b1818c3e6405c1d2

在这里插入图片描述

设置Powershell权限

Set-ExecutionPolicy RemoteSigned

导入模块

Import-Module .\Get-InjectedThread.ps1
Import-Module .\Get-MemorySectionContent.ps1
Import-Module .\New-InjectedThread.ps1
Import-Module .\Stop-Thread.ps1

创建一个被注入的线程-New-InjectedThread

Ps>New-InjectedThread

在这里插入图片描述

Ps>.\New-InjectedThread.ps1

注意:这种执行脚本需要在 ps中添加 执行内容即 文件尾部添加一行 执行的函数

执行检测-Get-InjectedThread

Ps>Get-InjectedThread

在这里插入图片描述
注意:这种执行脚本需要在 ps中添加 执行内容即 文件尾部添加一行 执行的函数

二进制怪兽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
线程劫持技术
weixin_43799752的博客
11-27 941
windows 线程劫持
1.7 完善自定位ShellCode后门
最新发布
CSDN
07-05 4256
在之前的文章中,我们实现了一个正向的匿名管道`ShellCode`后门,为了保证文章的简洁易懂并没有增加针对调用函数的动态定位功能,此类方法在更换系统后则由于地址变化导致我们的后门无法正常使用,接下来将实现通过PEB获取`GetProcAddrees`函数地址,并根据该函数实现所需其他函数的地址自定位功能,通过枚举内存导出表的方式自动实现定位所需函数的动态地址,从而实现后门的通用性。
windows C++ 遍历进程线程以及进程加载的模块
qq_43179054的博客
02-03 1519
本文是基于Win32 API函数实现遍历进程、遍历线程和遍历进程加载模块等获取系统信息的操作。
PowerSploit 之 Invoke-ShellCode
weixin_46104215的博客
11-08 1564
Shellcode为16进制的机器码,根据不同的任务可能是发出一条系统调用或建立一个高权限的ShellShellcode也就由此得名。它的最终目的是取得目标机器的控制权。(一段用于利用软件漏洞而执行的代码) 反向连接的shellcode: 当目标计算机在防火墙后时,防火墙不允许外边的计算机主动访问目标机器。所以即使采用shellcode建立了服务后门,还是不能与目标计算机建立连接。反向连接的含义就是,让目标计算机通过特定的IP(攻击者的)和端口反向连接到攻击者,也可以设定为在固定的时间段主动来建立连接.
rust-windows-shellcode:Rust中的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法...
Shellcode-Extractor:Python脚本从Linux可执行文件中提取Shellcode
05-18
ShellcodeExtractor SHELLCODE-EXTRACTOR工具,用于从对象/二进制文件中提取shellcode和长度。 版权所有(C)2017 Neetx 该文件是Shellcode-Extractor的一部分。 Shellcode-Extractor是免费软件:您可以根据自由软件...
go-shellcode:将Shellcode加载到新进程中
02-06
使用msfvenom或metasploit以十六进制格式生成一些shellcode: $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o rev.hex LHOST=127.0.0.1 LPORT=4444c:\windows\temp>sc.exe fce8820000006089e531c0648b...
工具:安全和黑客工具,漏洞利用,概念证明,Shellcode脚本
01-28
本部分提供了一些我们功能齐全的安全性和黑客工具。 我们还提供一些漏洞利用,概念验证代码,shellcode和代码片段。 这意味着某些工具尚未经过测试,可能没有功能集。 如果您发现一些错误,或者对本节有任何疑问,...
chiralium:WindowsShellcode-to-binary生成器
05-08
手性描述只是一个简单的工具,... 目前,您可以: 仅编译Windows Shellcode 针对x86或x64体系结构进行编译使用syscall执行您的shellcode 该程序已在Linux(Debian)和python3上进行了测试。安装所需组件: 高朗python3
python灰帽子--调试器基础3:获得线程相关寄存器状态
3D模型素材库
07-28 561
承接上文 进程调试基础2 一个调试器必须能够在任何时候都搜集到CPU的各个寄存器的状态。 当异常发生的时候这能让我们确定栈的状态,目前正在执行的指令是什么,以及其他一些非常有用的信息。 理论基础 1 - 要实现这个目标,首先要获取被调试目标内部的线程句柄。 该功能由OpenThread()实现,函数原型: HANDLE WINAPI OpenThread( DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwThreadId ); 要获取线程id(
CreateToolhelp32Snapshot详解
热门推荐
baidu_25539425的博客
09-17 1万+
HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, DWORD th32ProcessID ); dwFlags: TH32CS_INHERIT :使用这个标志表示,这个快照句柄是可继承的TH32CS_SNAPALL :表示使用了以下的全部标志,总共四个TH32CS_SNAPHEAPLIST, TH32CS_SNAPMODU
访问其他应用程序所占的内存空间
ssihc0的专栏
11-02 2221
首先获取进程ID   然后根据ID创建句柄,读取或者写入内存。呵呵,写得太简单了是吧。     http://sanjianxia.myrice.com/vb/112.htm     这个教你怎样获得进程ID         下面是怎样处理内存         VirtualQueryEx和ReadProcessMemory/WriteProcessMemory的使用
TlHelp32枚举进程、线程、模块信息
weixin_34240657的博客
12-13 514
通过tlhelp32提供的api,可以很容易的获取进程、模块、线程的快照信息。所涉及头文件:tlhelp32.h枚举进程Process信息: HANDLE hSnapshot; PROCESSENTRY32 pe32 = { sizeof(PROCESSENTRY32) }; HANDLE hProcessSnap = CreateToolhelp32Snap...
GetObject函数的理解、说明
weixin_34007886的博客
09-25 462
函数功能:该函数得到指定图形对象的信息,根据图形对象,函数把填满的或结构,或表项(用于逻辑调色板)数目放入一个指定的缓冲区。   函数原型: int GetObject(HGDIOBJ hgdiobj, int cbBuffer, LPVOID lpvObject);   参数:   hgdiobj:指向感兴趣的图形对象的句柄,它可以是这样的一个句柄:...
Windows API 常用方法
AESCR的博客
05-24 339
内存操作 /// <summary> /// Memory.dll class. Full documentation at /// </summary> public class Mem { #region DllImports [DllImport("kernel32.dll")] public static extern IntPtr Op...
获取其他进程中线程状态
weixin_30478619的博客
01-30 200
进程是由线程组成,启动是的第一个线程为主线程。 对于Windows来说,不存在暂停或恢复进程的概念,因为进程从来不会被安排获得cpu时间。 但是我们可以创建一个函数,用来挂起或者恢复进程中的全部线程,这样就能挂起或者恢复一个进程了。 在进程外获取该进程的线程。 方法: 一、获取目标窗口句柄和进程PID HWND hCalc = ::FindWindow(NULL, "第几课作...
windows平台下的进程内存修改
rm_wang的博客
07-25 3738
介绍如何实现windows平台下修改其他进程的地址空间
Windows Shellcode:句法、过滤器与安全漏洞利用
"该文主要讨论了Shellcode的编写,特别是Windows Shellcode的挑战和技巧,包括句法、过滤器的处理以及X86 AT&T和Intel句法的区别。此外,还提到了安全漏洞和多平台Shellcode的相关知识。" 在计算机安全领域,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

二进制怪兽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值