无痕注入dll_[讨论]是什么留下了注入DLL的痕迹?

最新推荐文章于 2023-06-22 13:49:30 发布
最新推荐文章于 2023-06-22 13:49:30 发布
阅读量1.1k 收藏 2
点赞数
文章标签: 无痕注入dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29131709/article/details/111990706
版权

很普通的用VirtualAllocEx和CreateRemoteThread对目标进程A注入了自己的dll。

在Loader.exe退出之后,再运行一个检测程序B,依然被检测出了Loader.exe的存在并且给出了文件路径,而且改名了Loader.exe都没有用,显然是留下了File Object的痕迹。

而且考虑到检测程序是在Loader已经执行完退出之后才运行的,那么应该是VirtualAllocEx或者CreateRemoteThread留下了痕迹,有谁知道是哪个留下的痕迹吗?应该怎么抹除?

用下面这样的步骤是不是能更好的隐藏掉注入痕迹?

1. 在目标进程分配内存块X

2. 修改目标进程的EIP跳入新分配的内存块X执行,X中代码通知Loader并进入等待

3. Loader在自身进程空间加载要注入的DLL,并且通知目标进程中内存块X的代码

4. X中的代码根据DLL在Loader中的大小,分配内存块Y

5. 通过RPM把Loader中的DLL所在内存拷贝到内存块Y中,并且CreateThread执行。

6. 释放内存块X并跳回原EIP地址

这样在理论上是不是注入之后再运行的检测程序几乎就无痕迹可查了?

曹阳明
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
无痕注入dll_R0级驱动注入与隐藏注入dll
weixin_39856803的博客
12-19 1976
' ,sX95r:.' s&@@@@@@@@@@@@@G;' i@@@@@@@@@@@@@@@@@@@&,' r@@@@@@@@@@...
c++保存图标到dll_[LAB]一种无痕Dll模块注入方式
weixin_39844267的博客
11-24 649
0x00 前言方式:CreateRemoteThread需要:visual studio 2015需要:进程模块查看器,如【PCHunter】【ProcessHacker】等。需要:创建一个用于实验注入的【MFC项目】窗体。需要:创建一个用于有痕注入的【Dll项目】模块。需要:创建一个用于无痕注入的【Dll项目】模块。0x01 实验窗体在【VS2015】中,创建一个名为【MFC】的【MFC项目】,...
C++无检测内核注入纯源码.zip
06-07
分享就是乐趣
内存注入dll 无痕
08-22
内存中 注入dll 需要黑月编译 任何32位进程
无痕注入dll_如何在R3尽量完美的隐藏一个DLL
weixin_39669761的博客
12-19 1967
哈哈哈专栏开通啦!咳咳..这个专栏主要写一些和安全开发的东西,需要一定的相关知识,并且不(定期)更新,恩,就这样主要是前几天群里师傅提出了这个问题,所以就去实现下,现将操作记录与此0x01 从加载开始要注入一个DLL的方法很多,但是我们希望一切在Exe知道之前就能完成(这样最不容易被发现对不),所以NTCreateThread和置换Dll就显得不好使了NTCreateThread创建线程的时间靠后...
应用层无痕注入Dll
qq_40363731的博客
03-27 667
【代码】应用层无痕注入Dll
驱动无模块注入dll
鬼手的博客
12-10 8794
Windows驱动无模块注入姿势全解 包含三环和零环的多种注入方式
无痕驱动读写注入EAC BE
qq_20077197的博客
05-13 5401
无痕驱动读写注入
无痕渗透“INSERT INTO”型SQL注入
热门推荐
逆水行舟
12-30 2万+
原文链接:http://www.mathyvanhoef.com/2011/10/exploiting-insert-into-sql-injections.html 在某个寂静的深夜,你徘徊在一个网站中,其中包含一个可提交form,需要你输入一个昵称。你输入了一个单引号作为你的昵称,网站返回了一条异常信息:“You have an error in your SQL syntax”。机智的你很快明
无痕注入dll_[LAB]一种无痕Dll模块注入方式
weixin_42499100的博客
01-12 2520
#include "stdafx.h"#include "MFC.h"#include "MFCDlg.h"#include "afxdialogex.h"#include #ifdef _DEBUG#define new DEBUG_NEW#endif//1.获取进程句柄HANDLE GetThePidOfTargetProcess(HWND hwnd){DWORD pid;GetWindowT...
驱动级dll注入源码
06-06
这个可是非常好的源码 没有使用任何模块 放心下载 绝对不留后门,不修改IE,卸载dll一直有点小问题,希望大家多交流
驱动级进程保护 隐藏 注入
08-04
驱动级进程保护 隐藏 注入 W7 W8 W10 32 64位都支持 不蓝屏
32/64 dll注入+hook
12-22
minihook+界面使用demo。可用hook任何API。 VS2010编译
易语言实现DLL注入 与 隐藏源码.zip
01-22
易语言实现DLL注入 与 隐藏源码 带有免费模块
DLL注入与隐藏.zip
03-11
很多被Tx保护的进程被注入DLL后可以在进程里检测到,我们要做的就是注入完成把DLL文件给隐藏掉 从而实现躲避检测的效果,具体可以自己实践一下, 模块功能由 某论坛VIP模块中反编译的一部分功能,非常实用。...
DLL注入器.rar
03-10
DLL注入器.rar
易语言模块DLL注入模块.rar
03-29
易语言模块DLL注入模块.rar 易语言模块DLL注入模块.rar 易语言模块DLL注入模块.rar 易语言模块DLL注入模块.rar 易语言模块DLL注入模块.rar 易语言模块DLL注入模块.rar
绕开驱动层检测的无痕注入
陈子青的博客
07-18 1334
搜了标题相关的文章既然没有?想要源码可私信~~~
驱动开发:内核远程线程实现DLL注入
CSDN
06-22 6063
在笔者上一篇文章`《驱动开发:内核RIP劫持实现DLL注入》`介绍了通过劫持RIP指针控制程序执行流实现插入DLL的目的,本章将继续探索全新的注入方式,通过`NtCreateThreadEx`这个内核函数实现注入DLL的目的,需要注意的是该函数在微软系统中未被导出使用时需要首先得到该函数的入口地址,`NtCreateThreadEx`函数最终会调用`ZwCreateThread`,本章在寻找函数的方式上有所不同,前一章通过内存定位的方法得到所需地址,本章则是通过解析导出表实现。
无痕注入dll怎么实现
最新发布
07-14
实现无痕注入DLL是一项高级技术,需要深入了解Windows操作系统的内部机制和注入技术。以下是一种基本的实现方法: 1. 选择适当的注入技术:目前常用的无痕注入技术包括APC注入、远线程注入DLL劫持等。根据具体情况选择合适的注入技术。 2. 创建DLL:编写一个用于注入DLL文件,其中包含你想要注入到目标进程中的代码。确保你的DLL文件不会引发杀毒软件或安全工具的警报。 3. 获取目标进程:通过适当的方式获取目标进程的句柄,例如通过进程名称、PID等。 4. 分配内存空间:在目标进程中分配一块内存空间,用于存放将要注入DLL代码。 5. 将DLL代码写入目标进程内存:使用WriteProcessMemory函数将DLL代码写入分配的内存空间。 6. 创建远线程或修改线程上下文:根据注入技术的选择,可以创建一个远线程或者修改现有线程的上下文,使其执行目标进程中的代码。 7. 注入完成:等待注入的代码执行完毕,并进行必要的清理工作。 需要注意的是,无痕注入DLL存在一定的风险和法律约束。滥用注入技术可能导致系统不稳定、安全漏洞或违反法律规定。在进行任何注入操作之前,请确保你具备合法的授权和了解相关法律要求。此外,了解目标系统的安全配置和防护措施也是非常重要的。 请谨慎使用注入技术,并遵守相关法律法规和道德准则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值