emp3r0r - Linux下的进程注入和持久化(初级)

179 篇文章 87 订阅 ¥29.90 ¥99.00
本文详细介绍了如何在Linux下通过ptrace实现进程注入和持久化,包括shellcode的编写、注入方法以及在emp3r0r框架中的应用。通过创建守护进程,在不影响目标进程的情况下执行自定义代码,实现隐蔽的持久化存在。
摘要由CSDN通过智能技术生成

背景

本文所介绍的内容是emp3r0r框架持久化模块的一部分。

Linux有一个独特的东西叫procfs,把“Everything is a file”贯彻到了极致。从/proc/pid/maps我们能查看进程的内存地址分布,然后在/proc/pid/mem我们可以读取或者修改它的内存。

所以理论上我们只需要一个dd和procfs即可将代码注入一个进程,也确实有人写了相关的工具。

但既然Linux提供了一个接口(只有这么一个,不像你们Windows),我们在通常情况下直接调用它就可以了。

ptrace

对,这唯一的接口就是ptrace。

这东西是用来操作进程的,大多用于调试器,它提供的功能足够我们完成本文所需的shellcode注入以及进程恢复了。

我们的思路是:

  1. attach到目标进程,将其接管

  2. 把shellcode写到RIP指向的位置,在此之前先备份原有的代码

  3. 恢复进程运行

  4. shellcode执行到中断,trap#SIGTRAP)并被我们接管

  5. 我们把原先的代码写回去,寄存器也都恢复

  6. 继续原进程的执行

进程的恢复

看了上面的思路,这个似乎并不难。但别忘了&

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值