dll注入系列——傀儡进程

最新推荐文章于 2023-08-13 12:20:10 发布
最新推荐文章于 2023-08-13 12:20:10 发布
阅读量990 收藏 1
点赞数
分类专栏: 安全 编程技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35713009/article/details/89207478
版权

0x0 介绍

之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入。

傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难,经常作为恶意程序的内存驻留手段,它可以将一个正在执行的进程作为傀儡进程,也可以创建一个新的进程作为傀儡进程,这里是用dll注入来进行示例,所以利用的是正在执行的进程。

 

0x1 SetThreadContext

对于一个正在执行的线程,我们可以通过SuspendThread函数暂停该线程的执行,然后系统会将线程上下文保存起来,它拥有CPU的执行状态信息,ResumeThread函数利用该线程上下文来恢复线程的执行。一个想法是我们使用SetThreadContext直接修改保存的上下文的EIP,就可以劫持控制流。

具体操作过程:

  • 写一段加载目标dll的shellcode。我们使用一个结构体来保存shellcode执行所需数据,shellcode能定位到开头处,然后可以通过相对偏移访问其他字段。
typedef struct _INJECT_DATA         //结构体用于保存shellcode执行所需数据
{
    BYTE shellcode[0x30];           //shellcode本体
    ULONG_PTR A
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
傀儡进程学习
0xDQ的博客
10-05 4126
0x00 前言 最近做了一道18年swpuctf的题,分析了一个病毒,正巧都用到了傀儡进程,就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章,如有错误,还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录,再拼上GAME.EXE 进入sub_4011D0 首先寻找资源,做准备工作,进入sub_4012C0 1)检测PE结构 2)CreateProcessA 创建进程 3)GetThreadContext...
进程注入器,dll注入
最新发布
08-30
进程注入DLL注入是计算机安全领域中的技术,主要用于软件调试、功能增强以及恶意软件的渗透测试。这些技术涉及操作系统的核心层面,尤其是进程管理和动态链接库(DLL)的加载机制。 DLL注入是一种技术,通过将一...
C++实现dll注入其它进程
01-21
DLL注入其他进程技术   阅读本篇文章,需要有《线程注入其他进程技术》基础。   DLL注入技术才具有强大的功能和使用性,同时简单易用,因为DLL中可以实现复杂的功能和很多的技术。   技术要点:   1、宿主进程调用LoadLibrary,可以完成DLL的远程注入。可以通过CreateRemoteThread将LoadLibrary作为宿主进程的一个线程来启动,可以完成“控制目标进程调用LoadLibrary”的工作。   2、标准DLLDllMain,是DLL执行的入口;使用MFC的DLL中InitInstance,是DLL执行的入口,但是没有消息循环。   注意:   
直接将自身代码注入傀儡进程
sevenpic的专栏
09-13 7640
<br />EXE注入-傀儡进程2008-08-16 16:38<br />      直接将自身代码注入傀儡进程,不需要DLL。首先用CreateProcess来创建一个挂起的IE进程,创建时候就把它挂起。然后得到它的装载基址,使用函数ZwUnmapViewOfSection来卸载这个这个基址内存空间的数据,。再用VirtualAllocEx来个ie进程重新分配内存空间,大小为要注入程序的大小(就是自身的imagesize)。使用WriteProcessMemory重新写IE进程的基址,就是刚才分配的内存
创建傀儡进程svchost.exe并注入DLL文件(Shellcode)
【Rainbow Network Technology co., LTD】
08-13 705
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。
EXE注入分析之傀儡进程
酷酷的鱼 - 网络编程,服务器安全专栏
01-15 3303
最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了, 但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释, 方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下, 说错的地方请各位大神指正,板砖吐口水都可以。 --- 我是淫荡的分割线--- 提到傀儡进程,首先想到的
滴水逆向三期 win10 ASLR UnmapViewOfSection傀儡进程 加密壳项目
四位的博客
12-27 1986
特意加了一个win10标题, 碰到0xc0000005的朋友就不要再浪费时间了, 我在这个问题上花了整整一天 概要 利用挂起创建进程, 然后卸载源程序(以下统称src)镜像(ps: 非必须选项),
傀儡注入
weixin_33932129的博客
12-14 595
开源poc win7 64版本https://github.com/haidragon/proce***efundwin7 32位版本https://github.com/haidragon/Inject-dll-by-Process-Doppelganging另外一种https://github.com/haidragon/Process-Hollowing 转载于:https://blog....
API创建暂停进程进行DLL注入.rar
04-04
"API创建暂停进程进行DLL注入"是一个技术主题,涉及到了系统编程、进程控制以及动态链接库(DLL)的注入技术。 首先,让我们来理解API创建进程的概念。Windows API中的CreateProcess函数是用于启动新进程的主要方式...
易语言创建进程注入DLL
07-21
在易语言中,创建进程注入DLL是一项常见的技术操作,它主要用于实现程序间的数据共享、功能扩展或者隐蔽执行某些任务。这里我们将深入探讨这个主题。 首先,让我们了解什么是“创建进程”和“DLL注入”。创建进程是...
进程隐藏,
02-23
远程线程注入,例子中是注入到“CALC.EXE”你可改成任何其他的进程
傀儡SQL注入+URL采集器.zip
04-26
URL采集器,可以根据关键词采集,SQL注入器,傻瓜式找注入点,仅供学习使用,不能用于非法用途,大家可以根据需要下载
易语言注入DLL置目标进程
07-22
易语言注入DLL置目标进程源码,注入DLL置目标进程,InjectDll,SwingingWindow,CloseHandle,GetProcAddress,OpenProcess,VirtualAllocEx,GetModuleHandleA,WriteProcessMemory,CreateRemoteThread,CopyMemory
傀儡进程
苞米地里捉小鸡的博客
10-13 622
背景 傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。 函数介绍 1.GetThreadContext 获取指定线程的上下文 2.SetThreadContext 设置指定线程的上下文 3.ResumeThread 减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行 实现原理 (1)第一步 利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程 bRet = ::CreateProcess(pszFilePat
创建傀儡进程代码
Sven的忘却日记
07-29 2010
相比传统的创建傀儡进程的方法,更简单粗暴一些,不用卸载目标进程空间内存。直接利用现有内存进行覆盖写入即可。 减少了一些步骤。 具体步骤: 1.挂起模式创建svchost.exe 2.获取进程入口点 3.将shellcode写到入口点 4.恢复线程执行 #include "stdafx.h" #include <windows.h> #include <Winternl.h>...
代码注入傀儡进程
sevenpic的专栏
09-13 1968
 傀儡进程——Exe注入2009-09-17 16:29#include "stdafx.h"#include typedef long NTSTATUS;typedef NTSTATUS (__stdcall *pfnZwUnmapViewOfSection)(        IN HANDLE ProcessHandle,        IN LPVOID BaseAddress        );BOOL CreateIEProcess();PROCESS_INFORMATION pi  = {0};
dll注入&代码注入
weixin_45880501的博客
09-17 1628
dll注入&代码注入 CreateRemoteThread 思路:在目标进程中申请一块内存并向其中写DLL路径,然后调用 CreateRemoteThread ,**(在自己进程中 创建远程线程到到目标进程)在目标进程中创建一个线程。**LoadLibrary()”函数作为线程的启动函数,来加载待注入DLL文件 ,LoadLibrary()参数 就是存放DLL路径的内存指针. 这时需要目标进程的4个权限(PROCESS_CREATE_THREAD,PROCESS_QUERY_INFORMATION
[病毒分析]远程木马创建傀儡进程分析
热门推荐
网络安全知识分享
08-06 1万+
远程木马创建傀儡进程分析 一、实验目的 该样本具有一定的免杀性,分析该样本都用了什么技术,能达到免杀效果,所以本次实验目的如下: (1)分析该样本运行流程 (2)提取该样本的关键技术,研究免杀原理。 二、实验描述 分析样本,MD5是997CF4517EE348EA771FD05F489C07FE,分析该样本的运行流程,我们需要调试傀儡进程,修复dump出来的傀儡进程,手工脱UPX壳,修复导入表。 三、实验目标 先将样本放到火绒剑里运行一下,了解样本A大概执行流程 dump出的傀儡进程为B程序,修复后
C语言0xc0000142错误,[求助]C语言 傀儡进程替换报错0Xc0000005 求大神帮忙看看
weixin_39980082的博客
05-17 284
创建了一个CREATE_SUSPENDED的傀儡进程,用幕后进程替换了傀儡进程之后报错0xc0000005,弄了好几天也没弄懂,我裂开了,哪位大侠路过帮帮忙WIN7 x64系统,vs2017 x86编译器,两个进程都是32位进程。typedef NTSYSAPI NTSTATUS(__stdcall *ZwUnmapViewOfSection)(HANDLE, PVOID);int main(){...
32位dll注入64位进程
03-30
很抱歉,我是AI语言模型,无法提供恰当的答案。但是,我可以向您提供以下信息: 在32位DLL注入64位进程方面,需要使用一些特殊的技术和工具。这是因为32位和64位进程具有不同的内存结构和处理方式。以下是一些可能有用的资源: 1. Wow64DisableWow64FsRedirection和Wow64RevertWow64FsRedirection函数 - 这些函数可用于禁用和启用Windows 32位应用程序文件系统重定向,以便在64位进程中加载32位DLL。 2. CreateRemoteThreadEx函数 - 这个函数可以用来在64位进程的上下文中创建一个新的线程,并在其中载入32位DLL。 3. 使用第三方工具 - 一些工具,如Injector、Process Hacker和NtCreateThreadEx等,可用于注入32位DLL到64位进程中。 需要注意的是,这种操作可能不受支持,而且可能导致系统不稳定。因此,应该谨慎地使用这些技术和工具,并确保对其进行彻底的测试和验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值