qt下调用win32 api实现屏幕绘图_EDR绕过方法:利用.NET动态调用绕过内联和IAT Hook...

最新推荐文章于 2024-03-25 23:01:19 发布
最新推荐文章于 2024-03-25 23:01:19 发布
阅读量379 收藏
点赞数
文章标签: qt下调用win32 api实现屏幕绘图
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39604557/article/details/111619259
版权

b78dc14ee18a34f246ce7660f59f6448.gif

fc4c1ad97112d7a6ab2dac0c561fb768.png

一、概述

本文展示了几种动态调用方法,可以利用这些方法绕过Inline和IAT Hook。可以在这里找到概念证明:https://github.com/NVISO-BE/DInvisibleRegistry 。

fc4c1ad97112d7a6ab2dac0c561fb768.png

二、探索过程

时至今日,红队的技术已经发生了明显变化,他们越来越多地使用C#编写工具,或者逐步从PowerShell转移到C#。

由于AMSI(反恶意软件扫描接口)、脚本块日志记录等一些变化,利用PowerShell实施的一些攻击活动已经越来越容易被发现和防御。

C#中有一个很好用的功能,就是能够像在C或C++中一样,调用Win32 API并操纵这些低级别的函数。

在C#中利用这些API函数的过程被称为平台调用,简称为P/invoke。微软通过C#中的System.Runtime.InteropServices命名空间来实现这一点。所有这些都由CLR(公共语言运行时)进行管理。下图展示了如何使用P/Invoke来衔接非托管代码和托管代码。

bb09d7bde57464bb8044d81368902be8.png

但是,从攻击者视角来说,使用.NET也存在一些缺点。由于CLR负责.NET与机器可读代码之间的转换,因此可执行文件不会直接转换为机器可读的代码。这意味着,可执行文件将其整个代码库存储在程序集中,因此非常容易进行逆向工程。

除了进行逆向以外,我们还越来越多地接触到EDR(终端监测与响应)。借助EDR,组织可以提高其网络安全性,使攻击者变得更加艰难,这显然是一件好事。

即使恶意程序在内存中执行(不接触磁盘,通常也称为“无文件”),由于EDR挂钩了进程,因此也可以捕捉到进程活动,并发现特定函数的执行过程。EDR有能力检查当前正在发生的事情,放行合法的函数调用,并阻止可疑的调用。@CCob发表过一篇关于这个概念,以及如何绕过挂钩的文章。一些EDR可能会挂钩到最底层,即负责Windows内核系统调用的ntdll.dll。下图说明了EDR的工作原理。

EDR如何对ntdll调用进行挂钩以防止恶意软件执行:

6a15050e8156fb7a68e1844eea372131.png

EDR主要有两种挂钩方式,分别是IAT Hooking和Inline Hooking(也被称为splicing)。

IAT的全称是导入地址表,我们可以将IAT类比为电话簿,能够在其中查找朋友的号码(所需的函数)。

这个电话簿可能被篡改,EDR可能会更改其中的某个条目,以指向EDR。下面展示了一个图表,说明了IAT Hooking的工作原理。

在这里,我们将EDR视为“恶意代码”:

bb8f98a7995d2ffd9e2b31d12dc84dc6.png

在示例中,是一个要调用消息框的程序。该程序将在其电话簿中查找消息框的号码(地址),以便进行调用。

程序很难知道有人替换了电话号码(地址),所以每次当它以为在调用消息框时,实际上都在调用EDR。

EDR会接受呼叫(调用),收听消息(调用的函数),如果EDR判断该内容时合法的,则会将消息框的真实地址返回给程序,以便进行实际的调用。

而Inline Hooking的原理可以类比成入侵者把枪顶在了我们要呼叫的朋友的脑袋上。

2c6850eae7b0bcc75a15be48c3be0655.png

在Inline Hooking的情况下

最低0.47元/天 解锁文章
weixin_39604557
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BugTrap:BugTrap:在非托管和托管.NET代码中捕获未处理的异常
02-05
错误陷阱 BugTrap是一种工具,可以捕获非托管和托管.NET代码中未处理的异常。 BugTrap还支持将崩溃报告发送到远程服务器进行分析。 原始作者Maksim Pyatkovskiy有的精彩详细介绍了如何使用BugTrap。 该存储库中的BugTrap源代码和二进制文件是由原始作者根据MIT许可授予的。 换句话说,您可以在商业和非商业应用程序中自由使用BugTrap。 下载并安装 检查此存储库中的发行版以获取最新版本: 包含Win32 / x64项目所需的所有BugTrap组件: BugTrap[U][D][N][-x64].dll -x64 BugTrap[U][D][N][-x
Pyramid:一款专为红队设计的EDR绕过工具
FreeBuf_的博客
12-19 371
base-tunnel-socks5:该脚本负责在一个新的线程中导入和执行paramiko来创建一个SSH本地端口转发(至一个远程SSH服务器),接下来会在目标设备上执行一台本地Socks5代理服务器,该服务器可以通过SSH信道远程访问;base-tunnel-inj.py:该脚本负责在一个新的线程中导入和执行paramiko来创建一个SSH本地端口转发(至一个远程SSH服务器),之后便能够在本地向python.exe中注入Shellcode;base-DonPAPI.py:该脚本负责在内存中导入和执行。
免杀!绕过EDR隐秘执行shellcode
潇湘信安的博客
06-22 330
Freeze.rs 是一个有效载荷创建工具,用于绕过 EDR 安全控制以隐秘方式执行 shellcode。Freeze.rs 利用多种技术,不仅可以删除 Userland EDR 挂钩,还可以以绕过其他端点监控控件的方式执行 shellcode。
EDR下的线程安全
最新发布
记录学习,一起进步
03-25 1019
EDR下的线程安全
qt 系统热键 直接调用 win32 API c++ 代码
12-24
基于qt5.1写的,在windows平台的系统热键的注册与注销。 直接调用win32api。 事例中,使用ctrl + shift + alt + s,四个按键,组合呼出和隐藏主窗口。 事件过滤类,继承了QObject 和 QAbstractNativeEventFilter。
HTML.zip_html viewer_site:www.pudn.com
09-24
这可以通过监听事件并调用适当的API实现。 6. **文件I/O**:为了加载和保存HTML文件,C#的System.IO命名空间提供了文件操作的相关类,如FileStream和StreamReader。 7. **界面设计**:作为桌面应用程序,HTML...
vc_masm.rar_VC .masm_VC 汇编_VC使用汇编_masm_mfc汇编调用
09-20
**VC++与MASM汇编的融合:深入理解与实践** 在C++编程环境中,有时候为了提高代码的执行效率或实现特定的底层功能,...通过深入理解和应用这些知识,你将能够更好地在VC++项目中利用汇编语言提升性能和实现特定功能。
asm.rar_vb.net 内联汇编_内联汇编插件
09-14
在VB.NET(Visual Basic .NET)中,虽然它主要是一个高级面向对象的语言,但通过内联汇编插件,开发者也能实现对底层操作的直接控制。 VB.NET内联汇编插件的核心概念在于“托管代码”与“非托管代码”的交互。托管...
APIHook.rar_hook_inline
09-14
APIHook.rar_hook_inline是一个关于API Hook技术的压缩包,特别是关注于内联Hook(Inline Hook)的实现API Hook是一种技术,它允许开发者在特定的API调用前后插入自定义的代码,以便监控、修改或者控制函数的行为。...
ASCII.zip_C 汇编 混合_site:www.pudn.com
09-19
在IT领域,编程语言是构建软件和硬件交互的桥梁,其中C语言和汇编语言是两种重要的编程工具。本文将围绕“ASCII.zip”这个压缩包文件中的主题——C语言与汇编的混合编程进行深入探讨。 标题“ASCII.zip_C 汇编 混合...
QT调用WIN32 API代码,遇到无法解析
qq_35114061的博客
06-08 402
解决bug
.Net调用非托管代码(P/Invoke与C++InterOP)
农家小舍
04-24 8096
1 .Net互操作 .Net不能直接操作非托管代码,这时就需要互操作了。 1.1 P/Invoke 许多常用Windows操作都有托管接口,但是还有许多完整的 Win32 部分没有托管接口。如何操作呢?平台调用 (P/Invoke) 就是完成这一任务的最常用方法。要使用 P/Invoke,您可以编写一个描述如何调用函数的原型,然后运行时将使用此信息进行调用。 1.1.1 枚举和常量
EDR查杀原理曝光及免杀绕过
摔不死的笨鸟的博客
09-22 979
为了保护系统的安全和稳定性,从Windows 64位起,Windows机器有两种不同的运行模式:用户模式和内核模式,用户模式即我们平时使用各种应用程序时所处的交互模式,应用可以访问CPU和内存等资源,维持自身的正常运转。Meterpreter绕过了磁盘上基于签名的检测和使用系统调用的Shellcode检测,但在运行不到一分钟后又被报毒,这是一个基于行为的检测,由额外的DLL文件触发,通过普通 Win32 API 和反射 DLL 注入技术加载。从我目前的知识和观点来看,对此问题的非常简单的回答是——不!
.net4.0调用非托管DLL的异常捕获
vigocarp的专栏
03-17 5322
由于有些非托管的DLL内部异常未有效处理,当托管程序调用到这样的DLL时,就引起托管程序意外退出。 托管程序使用通常的捕获try……catch块不起作用。原因是.NET 4.0里新的异常处理机制引起。 在4.0以前,因为SEH异常被转换成了跟普通.NET异常相同的异常,这样程序员只要用catch ( Exception e)的模式就可以捕捉到所有的异常。这样处理的问题是,由于SEH异常通常都不
qt制作一个画板_绘特美液晶画板
weixin_30783947的博客
12-22 319
省纸的儿童写画玩具,早期的白板或是利用磁铁原理磁画板都给爱动爱画的孩子们一些快乐的时光。而现在高科技下的电子画板已经可以做到接近真笔的手感的细腻的笔触,这就是LCD画板的诞生。LCD画板是利用柔性液晶的压力传感技术,显示原理是反射外界自然光线,不会产生任何辐射,没有粉尘污染,健康环保,也抑制了纸张的浪费。绘特美专业研发儿童产品,其生产的各类LCD画板收到了孩子们的喜爱。不仅仅有单色款的可以选择,而...
dll劫持
Coder的博客
11-03 942
基础知识 DLL(Dynamic Link Library)文件为动态链接库文件,又称“应用程序拓展”,是软件文件类型。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即DLL文件。 DLL路径搜索目录顺序 程序所在目录 程序加载目录(SetCurrentDirectory) 系统目录即 SYSTEM32 目录 16位系统目录即 SYSTEM 目录 Windows目录 PATH环境变量中列出的目录 Know DLLs注册表项 Kn
WINDOWS动态链接库(DLL)-文本加密和解密
乱舞的浮尘
05-27 3778
文本加密和解密
C#插件式开发——非托管库加载和解析,以及AssemblyDependencyResolver解析
zekser的博客
03-06 687
API(包括 .NET BCL 中的 API)在静态字段或字典中缓存对象或订阅事件并不少见——这使得创建阻止卸载的引用变得容易,特别是如果 ALC 中的代码以非平凡的方式使用其 ALC 之外的 API。可以通过解析配置文件并仔细遵循特定于平台的名字对象的规则来完成此操作,但这样做不仅困难,而且如果规则在 .NE 的更高版本中发生变化,编写的代码也会破坏。在简单的情况下,可以卸载非默认的 AssemblyLoadContext,释放内存并释放它加载的程序集上的文件锁。卸载模型是合作的而不是抢先的。
.NET使用System.Runtime.InteropServices.Marshal实现委托与函数指针互转
louObaichu的专栏
10-28 7378
命名空间: System.Runtime.InteropServices 函数:Marshal.GetDelegateForFunctionPointer 函数:Marshal.GetFunctionPointerForDelegate
C# 10 and .NET 6 – Modern Cross-Platform Development- Build apps
01-20
通过本书,读者将学习如何使用Visual Studio 2022和Visual Studio Code这两种强大的IDE,它们提供了丰富的开发工具和调试支持,以帮助开发者充分利用C# 10、.NET 6、ASP.NET Core 6、Blazor和EF Core 6的能力。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值