面向windows编程
文章平均质量分 80
本专栏主要内容为利用windows api编程,使用C++编写网络安全专业项目。
小刘。忙了
小刘忙了
展开
-
APC注入进阶“Early Bird”
1. 创建一个挂起的正常进程,例如nostpad.exe、svchost.exe2. 从这个挂起的进程中申请可写可执行的内存空间3. 将shellcode写入目标内存空间4. 进行APC注入,将shellcode注入到目标进程的主线程中5. 恢复该挂起的进程原创 2023-09-11 11:35:21 · 360 阅读 · 0 评论 -
第六章 创建进程
目录前言函数介绍WinExec函数语法参数返回值ShellExecute函数语法参数返回值CreateProcess函数语法参数返回值示例程序代码测试原理学习前言用户层微软提供了WinExec、ShellExecute、CreateProcess等函数创建进程,也可以执行cmd命令等。函数介绍WinExec函数运行指定的应用程序。语法UINT WinExec( [in] LPCSTR lpCmdLine, [in] UINT uCmdShow);参数[in] lpCmdLi原创 2021-12-10 23:58:26 · 690 阅读 · 0 评论 -
第五章 进程注入之APC注入(附源码)
目录前言函数介绍QueueUserAPC函数语法参数返回值示例程序代码DLL代码测试原理学习前言APC注入可以让一个线程在它正常的执行路径运行之前执行一些其他的代码,每一个线程都有一个附加的APC队列,他们在线程处于可警告的时候才被处理;如果程序在线程可警告等待状态时候排入一个APC队列,那么线程将开始执行APC函数,恶意代码则可以设置APC函数抢占可警告等待状态的线程。函数介绍QueueUserAPC函数把一个APC对象加入到指定线程的APC队列中。原创 2021-12-01 22:14:01 · 2079 阅读 · 0 评论 -
第四章 突破SESSION 0隔离 远程线程注入(附源码)
目录前言函数介绍ZwCreateThreadEx函数语法示例程序代码DLL代码测试原理学习前言在上一章《远程线程注入》中,我们可以向普通用户进程注入DLL;但是无法向system等权限的系统服务器进程中注入。由于系统的SESSION 0隔离机制,导致注入失败;我们可使用ZwCreateThreadEx函数进行远程线程注入,可以突破SESSION 0隔离。函数介绍大部分函数在上一章中已具体分析过,本章节将忽略ZwCreateThreadEx函数突破SESSION 0隔离,将DLL注入到系统服务进原创 2021-12-01 22:11:34 · 715 阅读 · 0 评论 -
第三章 远程线程注入(附源码)
目录前言函数介绍OpenProcess函数语法参数返回值VirtualAllocEx函数语法参数返回值WriteProcessMemory函数语法参数返回值GetProcAddress函数语法参数返回值CreateRemoteThread函数语法参数返回值示例程序代码DLL代码测试原理学习前言远程线程注入是指一个进程在另一个进程中创建线程的技术。函数介绍OpenProcess函数打开一个已存在的进程对象,并返回进程的句柄。语法HANDLE OpenProcess( [in] DWORD d原创 2021-12-01 22:06:30 · 1689 阅读 · 0 评论 -
第二章 资源释放(附源码)
目录前言函数介绍FindResource函数语法参数返回值SizeofResource函数语法参数返回值LoadResource函数语法参数返回值LockResource函数语法参数返回值示例代码测试原理学习前言木马文件会广泛使用资源释放技术,使程序变得更简洁;如果程序需要额外加载DLL文件、图片等,可以把它们作为资源插入程序中,程序运行后,文件释放到本地;这样的好处是编译出来的程序已有一个exe。函数介绍FindResource函数确定指定类型和名称的资源在指定模块中的位置。语法HRSRC原创 2021-12-01 22:04:09 · 528 阅读 · 0 评论 -
第一章 运行单一实例(附源码)
目录前言函数介绍CreateMutex函数语法参数返回值示例代码测试原理学习前言运行过多的进程可能会造成c/s端通讯异常,而过多的危险程序进程也会增加暴露风险,所以说可以给程序加一个api,通过创建一个系统命名互斥对象来实现。又比如在自启维权操作时,可以保证马已经在运行的时候,不用再次运行payload加载部分,避免过多的操作造成暴露风险。函数介绍CreateMutex函数创建或打开一个命名或未命名的互斥对象。语法HANDLE CreateMutexA( [in, optional] LP原创 2021-12-01 21:55:51 · 393 阅读 · 0 评论