delphi 卸载远程进程中的dll_FIN7新手段被曝光,win合法进程被滥用

最新推荐文章于 2023-10-19 10:00:34 发布
最新推荐文章于 2023-10-19 10:00:34 发布
阅读量370 收藏
点赞数
文章标签: delphi 卸载远程进程中的dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39574868/article/details/112112120
版权
几个月前,一种在合法Microsoft Windows进程中运行的恶意有效负载的攻击被发现。攻击者滥用了DLL搜索顺序来加载自己的恶意DLL。该环境中的某些示例与FireEye最近发布的关于FIN7的新工具和技术(特别是BOOSTWRITE)中描述的示例相匹配。将其余样本与BOOSTWRITE进行比较,发现它们具有通用的代码库,并带有Carbanak后门。Windows操作系统使用一种通...
摘要由CSDN通过智能技术生成

58ba7695cf1e9513022230620e21f3a0.gif

几个月前,一种在合法Microsoft Windows进程中运行的恶意有效负载的攻击被发现。攻击者滥用了DLL搜索顺序来加载自己的恶意DLL。该环境中的某些示例与FireEye最近发布的关于FIN7的新工具和技术(特别是BOOSTWRITE)中描述的示例相匹配。将其余样本与BOOSTWRITE进行比较,发现它们具有通用的代码库,并带有Carbanak后门。

Windows操作系统使用一种通用方法来查找要加载到程序中的所需DLL。攻击者可能使用此行为来导致程序加载恶意DLL,该技术被称为DLL搜索顺序劫持(或二进制植入)。

滥用的应用程序是FaceFodUninstaller.exe。它从Windows 10 RS4(1803)开始在全新OS安装中的“%WINDR%\ System32 \ WinBioPlugIns”文件夹中。该可执行文件依赖于winbio.dll,该文件通常在父目录(“%WINDR%\ System32”)中。

e460c77063a3924635557bbd8677a5c3.png

最低0.47元/天 解锁文章
weixin_39574868
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何安全的将远程DLL,不会让程序崩溃
Qensq的博客
07-19 1392
DLL 很多人是从外部的,但是可能会造成程序的崩溃和异常,需要的方式最好是放在内部操作。 通过执行DLL内部方法去DLL本身,代码如下: VOID unDll() { HMODULE hmodel = NULL; GetModuleHandleEx(GET_MODULE_HANDLE_EX_FLAG_FROM_ADDRESS,(LPCSTR) &unDll, &a...
如何其它进程的指定DLL
tnswy的专栏
04-16 1005
如何其它进程的指定DLL2008-02-17 12:46#include void __fastcall UnLoadDll(String str_proce, String str_dllname) { AnsiString tmpstr=""; PROCESSENTRY32 pinfo; pinfo.dwSize = sizeof(pinfo); DWORD
其他进程的dll模块
Koma的主页
01-07 2401
啥也不说了,贴代码:#include "stdafx.h"#define MAX_MODULE_NAME_LEN 16// 传入到远程线程的参数结构定义typedef struct tagThreadParam { DWORD dwFreeLibrary; // FreeLibrary 地址 DWORD dwGetMo
DLL(创建远程线程强制注入的dll)
m0_51713041的博客
04-13 1154
DLL 实际上我觉得应该改名叫:创建远程线程强制注入的dll 一:工作原理 驱使目标进程调用FreeLibrary() API,和CreateRemoteThread() API来创建远程线程从而实现dll注入的方法类似,这个也是将FreeLibrary() API的地址传递给CreateRemoteThread()的lpStartAddress参数,并将要的DLL的句柄传递给lpParameter参数。 注:每个windows内核对象都拥有一个引用计数,代表对象被使用的次数。每调用一个Load
操作系统之进程管理:20、死锁的检测和解除
千寻瀑
10-07 376
20、死锁的检测和解除思维导图死锁检测死锁解除 思维导图 死锁检测 P1、P2:进程;R1、R2:某一类资源集合 绿边:已经被使用掉的资源个数;蓝边:进程请求的资源个数 由上图可知: P1使用了2个R1资源,P2使用了1个R1资源;R1剩余0个资源; 此时,P2请求一个R1资源,由于R1资源不足,P2阻塞; P2使用了一个R1资源、1个R2资源;R2资源剩余1个;R1请求1个R2资源;资源足够;P1运行; P1运行后,释放2个R1资源、1个R2资源;P2运行 安全序列:P1–P2 死锁解除
crc_rec_fin.rar_cyclic detect_fin
09-23
A cyclic redundancy check (CRC) is an error-detecting code commonly used in digital networks and storage devices to detect accidental changes to raw data.
LPC_fin.zip_LPC_LPC-10_fin_lpc matlab
07-14
LPC-10 Voice coder using Matlab
FINSCAN.zip_FIN扫描 源码_TCP FIN_fin_finscan公司_site:www.pudn.com
07-14
不同于常见的SYN扫描(SYN Flood)或ACK扫描,FIN扫描更隐蔽,因为FIN包通常不引起目标主机的响应,使得扫描活动更难被检测到。 3. **源码**:源码是程序员编写的原始编程语言文本,它是程序的未经编译或解释的形式...
flash_driver_source.rar_Black fin-506 _fin_flash driver DSP
09-14
《Black Fin-506 DSP串行Flash驱动程序详解》 在嵌入式系统领域,Black Fin-506 DSP(数字信号处理器)是ADI公司推出的一种高效能、低功耗的处理器,常用于实时信号处理应用。在这样的系统,Flash存储器扮演着至...
prog_seq_FIN.rar_fin
09-22
【prog_seq_FIN.rar_fin】是一个压缩包,其包含的项目是关于使用Verilog语言在Spartan3E FPGA上实现可编程序列检测器的设计。这个设计对于理解和掌握数字逻辑、FPGA工作原理以及Verilog硬件描述语言有重要的学习...
dll窗体的加
10-24
动态加dll的窗体到主窗口的任意地方,加的dll窗口鼠标不受限制。 在主窗体任意dll窗体。 在博览众家之长后制作,全部源代码分享,给初学者提供条捷径。在berlin下编译。
Delphi+内联汇编,USP10劫持技术经典之作编译后7.5k
09-17
代码采用delphi内联汇编的编写方式,DLL劫持技术的经典之作,并且运用DELPHI mini编译技术,完整功能的dll不超过8k,一切最精简最高效的delphi编程技术,展现delphi汇编编程的魅力。
劫持 exe 到本软件里
06-06
delphi 实现 劫持 exe 到本软件里 。劫持窗体,winAPI
显式加delphi写的dll之内存泄漏(4KB)问题
Avan_Lau的专栏
09-21 2182
<br />Memory Lost And Found... And Released <br /><br />by Roy Nelson <br /><br />This article has been long in the making: it all started about two years ago, after a conversation with a previous colleague. The conversation centred on the fact that they w
delphi完美的线程注入和
q304929130的专栏
01-12 579
/***************************************dll**************************************//***********************************线程DLL***********************************//**********************************调整进程权限*******************************
delphi控件的安装和方法(转)
javazhuanzai的专栏
02-01 697
====================================================== 注:本文源代码点此下 ====================================================== 基本安装 4、假设以上install按钮为失效的话, 普通是控件的安装目录不在delphi的lib目录, 有两种方法可以解决: 1、反安装的
系统提示找不到winbio.dll文件出现错误怎么办
最新发布
amio555的专栏
10-19 405
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下这个winbio.dll文件(挑选合适的版本文件)把它放入到程序或系统目录,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现winbio.dll丢失要怎么解决?
DelphiDLL初始化和退出处理DLL_Process_Attach
weixin_33895695的博客
04-03 1143
2019独角兽企业重金招聘Python工程师标准>>> ...
net.ipv4.tcp_fin_timeout参数在Linux 7 和 Linux 8 有区别吗
06-01
是的,Linux 7和Linux 8的net.ipv4.tcp_fin_timeout参数有所不同。在Linux 7,默认值为60秒,而在Linux 8,默认值为30秒。这是因为Linux 8针对一些性能和安全方面的考虑进行了优化,通过缩小TCP连接关闭后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值