傀儡进程内存Dump

最新推荐文章于 2024-06-21 07:00:00 发布
最新推荐文章于 2024-06-21 07:00:00 发布
阅读量1.4k 收藏
点赞数
分类专栏: Windows系统

傀儡进程(参见《动态加载并执行Win32可执行程序》),简单的说是指通过给CreateProcess传递一个CREATE_SUSPENDED参数可以使得被创建的子进程处于挂起状态,此时EXE的映像会被加载到进程空间中,但是并不会立即被执行,除非调用ResumeThread。在ResumeThread之前,通过GetThreadContext获取主线程的上下文以取得PEB等,调用ZwUnmapViewOfSection/NtUnmapViewOfSection卸载子进程原有区块,通过VirtualAllocEx在子进程指定的基址分配空间,调用ReadProcessMemory和WriteProcessMemory这样的API来读写子进程空间的内容,调用 VirtualProtectEx修改内存的属性为可读可写可执行,最后调用SetThreadContext/ResumeThread即可让子进程执行恶意代码。

动态加载并执行Win32可执行程序》提到的是把已知的EXE注入到其他正常的EXE之中,要获取到恶意代码直接拿到恶意的EXE就行了。而如果恶意代码是加密了的呢?比如把恶意代码加密后就存放于自身,然后创建自身子进程,解密恶意代码注入子进程,那么就要想办法对子进程内存Dump了。Dump的时机是在ResumeThread即将被调用之前,而此时在LordPE中直接完整Dump会出错,用PE Tools Dump下来的是原始的EXE,并不能把恶意代码Dump下来,用OllyDbg附加也提示出错。

这时其实可以用LordPE的部分Dump功能来完成,只需要知道内存地址的起始地址与大小即可,所以可以在VirtualAllocEx下个断点:

0012FC50   00602C9D  /CALL 到 VirtualAllocEx 来自 fxxk.00602C9A
0012FC54   0000004C  |hProcess = 0000004C
0012FC58   00400000  |lpAddress = 00400000
0012FC5C   00053000  |dwSize = 53000 (339968.)
0012FC60   00003000  |flAllocationType = 3000 (12288.)
0012FC64   00000004  \flProtect = 4

这样就知道该在何处Dump,要Dump多大了:
LordPE部分Dump内存
Dump出来之后,需要对文件做几个小修复:把文件对其粒度FileAlignment改为内存对齐粒度SectionAlignment同样的值,之后还需要把所有节表头的PointerToRawData改为VirtualAddress同样的值,保存即可。
LordPE修复Dump文件对齐粒度和节文件偏移
这样就把恶意代码拿到手了。

BMOP
关注
专栏目录
傀儡进程注入
qq_40710190的博客
05-08 1049
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
linux dump进程内存,Linux系统内存dump机制介绍(一)——kdump
weixin_39818727的博客
04-29 1678
按照Linux系统的设计哲学,内核只提供dump内存的机制,用户想要dump什么样的内存dump多少内存是属于策略问题,由用户来决定。在真实的使用场景中,主要有两种使用方式:kdump和coredump1.kdumpdump某一个进程的地址空间来供用户在进程挂掉之后debug分析。2.coredumpdump整个系统的内存空间,以便于系统管理员debug分析系统挂掉的原因。本文主要描述kdu...
傀儡进程原理及调试
小黑话不多
08-11 3352
傀儡进程创建过程: (1) CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB; (3) ZwUnmapViewOfSection卸载挂起进程内存空间数据; (4) VirtualAllo
进程注入之创建傀儡进程
yeanhoo的博客
10-19 1861
傀儡进程:创建一个进程,然后将其虚拟地址里的内容掏空,注入想要注入的进程,以达到掩人耳目的效果 步骤: 1.以挂起的方式创建一个进程 2.卸载该进程内存映射,即掏空该进程虚拟内存空间中的内容 3.获取该进程的CONTEXT上下文结构 4.将要注入的程序读入到内存中 5.在傀儡进程中申请足够的内存空间 6.手动将要注入的程序写入傀儡进程中所申请的内存空间 6.设置CONTEXT上下文的Eax为程序...
EXE注入分析之傀儡进程
酷酷的鱼 - 网络编程,服务器安全专栏
01-15 3454
最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了, 但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释, 方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下, 说错的地方请各位大神指正,板砖吐口水都可以。 --- 我是淫荡的分割线--- 提到傀儡进程,首先想到的
傀儡进程
苞米地里捉小鸡的博客
10-13 682
背景 傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。 函数介绍 1.GetThreadContext 获取指定线程的上下文 2.SetThreadContext 设置指定线程的上下文 3.ResumeThread 减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行 实现原理 (1)第一步 利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程 bRet = ::CreateProcess(pszFilePat
python dump内存_【python】内存调试
weixin_29343349的博客
03-01 1837
问题定位过程解读gdb-python:搞清楚python程序在做什么首先确定python在做什么,是否有大内存消耗任务正在运行,或出现死锁等异常行为。从gdb-7开始,gdb支持用python实现gdb扩展,可以像调试c程序一样,用gdb对python程序检查线程、调用栈等;且可同时打印python代码和内部c代码的调用栈。这对于定位是python代码问题还是其底层c代码问题,有很大帮助。准备gd...
windows 服务器性能监控进程dump收集
02-03
Windows调试工具(WinDbg)是一个强大的分析工具,它可以打开dump文件并显示进程的堆栈信息、内存状态和模块加载情况。通过分析这些信息,我们可以定位到导致问题的代码行,找出内存泄漏、死锁或其他异常行为的原因...
JAVA jvm DUMP 内存分析
09-29
性能测试,线程的 dump 看到线程的 死锁,等待 运行状态
java dump分析_基于Java内存dump文件分析解决内存泄漏问题
weixin_33895274的博客
02-12 7025
概述本文介绍一次解决现场java内存泄漏问题的经过,希望能提供后续遇到类似情况的读者一点思路。生产环境发现的问题问题生产环境运维人员反馈,服务器(windows系统)卡死,相关的服务都运行异常,重启之后也没作用。通过运行管理器看到java进程内存占用5G,初步判断是程序内存泄漏。基本解决方案基本解决方案是先收集生产环境的jvm内存使用信息,线程信息,再利用工具进行进一步分析。解决过程1、收集jvm...
Windows傀儡进程实现C++代码
04-28
Windows平台傀儡进程实现,采用C++, vs2008实现,完美实现
PCHunter支持内核驱动模块的内存拷贝
04-28
1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能   2.内核驱动模块查看,支持内核驱动模块的内存拷贝   3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook   4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除   5.端口信息查看,目前不支持2000系统   6.查看消息钩子   7.内核模块的iat、eat、inline hook、patches检测和恢复   8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除   9.注册表编辑   10.进程iat、eat、inline hook、patches检测和恢复   11.文件系统查看,支持基本的文件操作   12.查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME   13.ObjectType Hook检测和恢复   14.DPC定时器检测和删除   15.MBR Rootkit检测和修复   16.内核对象劫持检测
易语言 取进程PID/进程句柄/进程模块句柄纯代码源码
02-22
易语言纯代码取 进程PID 进程句柄 进程模块句柄(CE查找的进程名加偏移就相当于模块句柄加偏移)
[Rootkit] 傀儡进程
墨鱼菜鸡
08-16 165
实现原理: 以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。 ...
关于傀儡进程的笔记
A13781798811的博客
03-12 247
最近在分析一个病毒时,病毒通过创建傀儡进程内存映射来执行恶意代码。 但在分析的时候遇到附加后傀儡进程数据出错的问题。 百度到的常见傀儡进程流程: (1)CreateProcess一个进程,并挂起,即向dwCreationFlags参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX...
傀儡进程详解
最新发布
N阶二进制的博客
06-21 639
傀儡进程是一种高级的隐蔽技术,攻击者利用进程注入、进程替换和隐藏技术,伪装成合法进程进行恶意活动。理解这些技术及其防范措施对于保护系统安全至关重要。希望通过此详解和示例,大家能更好地理解傀儡进程的工作原理和防范方法。
创建傀儡进程
挖树
10-14 1028
折腾好久,总算完成了自己第一次的傀儡进程编写。 效果:使当前进程创建一个子进程(同名) 掏空子进程,注入任何自己编写好的其他exe。 注意点 1.用来创建傀儡进程的父进程程序 需要是32位程序,因为编码的程序本身就是win32控制台程序 2.注入到进程中的程序32位,64位都行 3.pe结构取值时一定一定要留心是否需要加基址。 4.注意区分CUI程序和GUI程序,如果代码编写的是32位控制台程序,...
内存dump分析精粹》第六卷 - 调试与分析指南
1. **基础理论**:书中可能会介绍内存dump的基本概念,如什么是内存dump,它是如何生成的,以及它包含哪些关键信息,如进程状态、堆栈信息、内存映射等。 2. **调试工具**:针对`wingdb`、`gdb`等调试器的使用进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值