vc6 调试 附加到进程 列表空_远程进程Shellcode注入调试技巧

最新推荐文章于 2021-01-26 08:44:13 发布
最新推荐文章于 2021-01-26 08:44:13 发布
阅读量282 收藏 1
点赞数
文章标签: vc6 调试 附加到进程 列表空 修改jar 注入

在病毒分析的过程中,时常会遇到很多病毒为了躲避杀软的检测,使用进程注入的方式,将shellcode注入到系统进程中执行,本文将介绍一些在遇到shellcode注入进程时所使用的调试技巧。 

情形一:PE进程远程注入shellcode到其它进程

PE类文件在进行进程注入的时候,可能会注入一个PE文件,也有可能是注入一段shellcode,但注入的流程通常是一样的。

注入已有进程:

OpenProcess —> WriteProcessMemory —> CreateRemoteThread;

创建进程注入:

CreateProcess —> WriteProcessMemory —> GetThreadContext —> SetThreadContext —> ResumeThread;

上面一种是注入已有进程,下面一种是自己创建一个进程进行注入,不过需要关注的点是一样的,就是远程线程启动时的context(上下文)。

如果是遇到CreateRemoteThread的情况,就比较直观,只要直接找到该函数的第四个参数lpStartAddress,就是我们要找的context值,下图是一个示例:

4760b85b31a6f4cb114058fbb9e8f840.png

如果是遇到ResumeThread情形,就稍稍麻烦一些,需要先查看GetThreadContext的第二个参数lpContext,获取到的进程上下文会放在该指针结构中,然后代码对其中的地址值进行修改,再调用SetThreadContext:

b3f9c06d7f95f7cc53bd854900d511b5.png

找到上下文地址后,只需要断在CreateRemoteThread或ResumeThread函数上,使用WinHex打开程序要注入的进程,将该上下文地址处的代码修改为JMP到当前地址(或0xCC,此处可以发散一下,只要是能够想办法断下来即可),再单步步过(F8)CreateRemoteThread/ResumeThread,使用OD附加到注入的进程,断在上下文地址处,再将代码修改回原来的代码即可继续执行。

情形二:脚本病毒/宏病毒远程注入shellcode到其它进程

脚本病毒/宏病毒注入shellcode时所使用的函数与PE类略有不同,下面以一个宏病毒的分析过程为例来进行说明。

调试宏代码,该样本的宏代码没有经过混淆,可以清晰的看到其将shellcode硬编码赋值给一个数组,这里的数据长这样:

516096f3993242d09e00e22f52318b69.png

需要把它转化成C++能够认识的类型,不过别着急,先继续往下看,代码创建了一个rundll32.exe进程并挂起,然后申请一块shellcode长度大小内存,依次将数据写入进程内存,最后启动进程:

9ed926b30aecd953ea8dbc51947d7360.png

这里需要关注的函数是最后用来启动进程的CreateStuff,这个函数是前面代码自定义的函数,对应是CreateRemoteThread:

Private Declare Function CreateStuff Lib "kernel32" Alias "CreateRemoteThread" (ByVal hProcess As Long, ByVal lpThreadAttributes As Long, ByVal dwStackSize As Long, ByVal lpStartAddress As Long, lpParameter As Long, ByVal dwCreationFlags As Long, lpThreadID As Long) As Long

再看函数参数:

CreateStuff(pInfo.hProcess, 0, 0, rwxpage, 0, 0, 0)

pInfo.hProcess是进程句柄,rwxpage是启动进程需要给出执行的上下文,于是在这一条语句下个断点,print一下rwxpage参数的值:

b7715fedd45af696e324b5cc0c3a166c.png

589824,转换成十六进制为0x90000,应该就是要找的上下文地址,接下来就是到进程内存中去找到这一段数据了,使用WinHex打开对应进程的内存,找到0x90000这个地址:

56d7929093f5c351163714f687f058df.png

可以看到这一段数据中有明文显示的可疑字符串了,看起来像是网络连接相关的,到这一步就要想办法来调试这段shellcode,这里有两种调试的思路。

思路一:像调试PE类注入那样,把执行上下文地址处的代码修改为0xCC或jmp当前地址的代码:

90f186855f52155809935011d754c85f.png

如果修改为0xCC,需要注意,应该把调试器的实时调试设置选成“附加前无需确认”,这样进程启动后才会自动附加到OD进行调试(记得将内存修改回原值,如果没有自动附加,就手动附加一下进程):

4a3e0da0dc53e55d8543d9f438f905d5.png

如果修改成jmp当前地址,那么需要手动打开OD,选择要附加的进程,然后跳转到执行上下文的地址下断点,断下来后把内存地址修改为原值,再继续调试:

4f77a13eb35d64abb9fa6a1f359bbb62.png

思路二:在WinHex中找到这段shellcode后,将其选中,右键->Edit->Copy Block->C Source,这样就能将数据拷贝成C++能够识别的形式:

dec9b6ed35c36728f86a9168c973264d.png

然后用Visual studio新建一个C++控制台应用项目,定义一个数组,内容为我们拷贝的C Source数据:

c2c33e8391deb03aa44dfb1705112615.png

然后在main函数中定义函数指针指向shellcode的首地址,然后调用这个shellcode首地址的这个函数,读起来很绕,但实际上一条指令就能够完成:

9eca6d57a2b93c366804cfc56f5460db.png

当然,这里的写法并不局限于一种,只要理解其中的原理即可。随后生成Release版的EXE文件,就能够使用OD或IDA对shellcode进行分析了,用IDA加载出来的Main函数如下:

5408b4554e9104089802ca3c446f444d.png

本文使用了几个示例,讲解了在恶意代码分析过程中遇到远程进程注入时的一些调试方法,虽然调试技巧有很多种,但万变不离其宗,在调试过程中可以根据自己的需要选择不同的调试思路,也可以根据原理开发一些工具,如shellcode生成EXE文件工具等。

*本文作者:深信服千里目安全实验室,转载须注明来自FreeBuf.COM

653c2e061a6a35a607f0d8acd3cd998c.gif

精彩推荐

065b241feee2aec388e4544d0a519f4e.png

aba5825db25d080b210712fbd2c838e1.png

3609c7a2602865f06d71b7030c019678.png

47271a4cab0eb188a65b18c1f28e4837.png

28c25ef3371c8d3a67d303550c2b05f0.png6353eb42c6e19f743ec8fa4f4fcf96be.gifebd0600144abdc8bfe371c1a685d7c91.gif

weixin_39681161
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
远程线程注入工具,可生成代码 可自定义shellcode注入进程-易语言
06-14
双击第三个输入框即可生成shellcode,这里默认的shellcode远程线程注入 注入的是当前程序选择注入进程 这里选择最左下角的选项,然后再双击输入框 即可生成在自身程序执行的shellcode 这里说明一下哈,这里是...
stealthInjector:使用直接系统调用将 shellcode 注入远程进程
05-31
隐形注射器使用直接系统调用将 shellcode 注入远程进程。 直接系统调用将绕过许多 AV/EDR 检测技术,例如 API 用户态挂钩和监控。 系统调用是通过读取 ntdll.dll 而不是使用硬编码程序集动态检索的。 动态检索系统...
vc6 调试 附加进程 列表_Android Studio 学习之 Debug 调试
weixin_39887221的博客
10-23 231
前言正所谓,工欲善其事必先利其器,对于一个程序员来说,IDE就是我们器啊。IDE掌控的越熟悉,工作效率就越高(划水摸鱼的时间更多),所以要想效果更高(摸更多的鱼),就要好好学习如何使用IDE。作为一个Android开发是无疑是幸福的,背靠Google爸爸,加上JetBrain的加持(JB大法好),所以就有了最完美的(不接受反驳)IDE—Android Studio(下文都以AS简称),就是有点吃内...
关于VC中的附加进程调试
weixin_33857230的博客
03-18 473
今天领导要求在服务端添加一个获取会议参数的功能接口,接口写好后要自己测试,但是没有客户端的源码,只有客户端安装程序和客户端与服务端发送信令的底层库KSYSClient.dll,而我修改了客户端需要底层调用KSYSClient.dll源码和linclude包含的头文件,直接生成放入客户端是没有用的。 为了测试新添加的接口能与客户端互通,所以只能在客户端要调用的KSYSClient.dll中调用接口...
vc6 调试 附加进程 列表_C语言篇·在VC6.0下运行C语言程序
weixin_39639600的博客
11-08 621
今天给大家分享在VC6.0环境下编写C语言程序的基本步骤,为初学者打开学习C语言的第一道门。具体步骤如下(如果需要软件资源,可以留言):1)新建工作区依次点击 文件--新建--工作区 或是Ctrl+N,新建工作区,弹出如下界面。点击“确定”按钮完成工程的创建。2) 新建Win32 Console Application工程在菜单栏中选择“文件 -> 新建”,或者 Ctrl+N,弹出下面的对话...
vc6 调试 附加进程 列表_在VC6.0下运行C语言程序,以及编程入门必备的常识类小知识!...
weixin_39989668的博客
10-21 145
今天给大家分享在VC6.0环境下编写C语言程序的基本步骤,为初学者打开学习C语言的第一道门。具体步骤如下(如果需要软件资源,可以留言):1)新建工作区 依次点击 文件--新建--工作区 或是Ctrl+N,新建工作区,弹出如下界面。 点击“确定”按钮完成工程的创建。2) 新建Win32 Console Application工程 在菜单栏中选...
今天,进程告诉我线程它它它它不想活了
架构师小秘圈
02-19 338
来自:Java建设者上一篇文章我们解剖了进程和线程的本质,进程和线程的实现方式,这篇文章我们来探讨它们是如何通信的,进程告诉我说线程不想活了,我不管它死活,我只想知道我是谁?进程是怎么告...
go-shellcode:将Shellcode加载到新进程
02-06
壳码这是一个将shellcode作为自己的进程运行的程序,所有程序均来自内存。 这样做是为了击败反病毒检测。用法请记住,只有64位shellcode将在64位进程中运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或...
UnModule_shellcode_Inject:无模块注入工程 VS2008
04-29
=====================ShellCodeFrame_x64 ===============...使用生成的shellcode对静态dll进行无模块注入 配置 x64 插入汇编的VS环境。 ==============ShellCodeFrame_x86 工程介绍=========== 生成x86平台的shellcod
pe_to_shellcode:将PE转换为Shellcode
05-09
转换PE,以便可以像普通shellcode一样将其注入。 (同时,输出文件仍然是有效的PE)。 同时支持32位和64位PE 作者: 和 客观的 该项目的目标是提供一种生成PE文件的可能性,该文件可以轻松完成注入。 它受Stephen ...
vc++ MFC获取进程程序 VS2010 VC6,0 编译通过
09-23
vc++ MFC获取进程程序 VS2010 VC6,0 编译通过
vc6 调试 附加进程 列表_VS环境下Abaqus Fortran子程序的高级调试(二)
weixin_39882589的博客
10-22 421
“在我所有的程序 Bug 中,80% 是语法错误。剩下的 20% 中,80% 是不重要的逻辑错误。剩下的 4% 中,80% 是指针错误。最后剩下的 0.4% 是有难度的问题。”-MarcDonner,IBM Watson 研究中心经常做程序开发的同学都清楚,最痛苦的环节莫过于调试各类莫名其妙的错误。在之前的文章里,已经介绍过Abaqus Fortran子程序开发过程中常见的几种错误类型...
Python程序员最常犯的十个错误
bbbeoy的专栏
03-28 236
Python程序员最常犯的十个错误不管是在学习还是工作过程中,人都会犯错。虽然Python的语法简单、灵活,但也一样存在一些不小的坑,一不小心,初学者和资深Python程序员都有可能会栽跟头。本文是Toptal网站的程序员梳理的10大常见错误,非常有参考意义。大家在开发过程中需要格外注意。译文中如有理解错误的地方,可以在网站留言或通过微信公众号编程派回复。常见错误1:错误地将表达式作为函数的默认参...
vc6调试进程的方法
wanlitengfei的专栏
05-18 758
进程运行后attach to process是一种方法。 而如果想重头到尾单步跟踪调试进程,则可以先在子进程源代码的最开始处放一个"DebugBreak();",这样子程序运行后会出现异常对话框, 对话框上选调试,启动VC6进行调试,如果没有启动VC6(比如:只是弹出个对话框可选vs2003,vs2005之类的),则可以勾选vc6的菜单Tools->Options->Debug->Just
vc6 调试 附加进程 列表_Android反调试检测
weixin_39960920的博客
11-08 134
java层保护1 代码混淆apk应用在被逆向分析时,java层代码就像被扒光一样,而native代码分析难度大,但是需要扎实的c/c++基础。这个时候大家就可以考虑一下代码混淆技术稍作保护(毕竟看着好多abc也挺烦的)。Android开发中提供了Proguard这一工具来进行代码混淆。这里只做简单介绍,Proguard是一个开源项目,他能够对Java类中的代码进行压缩(Shrink),优化(Opt...
vc6.0编译c++程序后在vc2008中调试技巧(符号信息和链接)
TXH0001的专栏
02-10 5143
遇到的问题: 公司有个项目的源码是要vc6.0来编译的,我试过用vc2008来编译也是可以的,但编译出来dll文件拿去运行的时候是有异常的,因为加载的exe是第三方的,好像 没有源代码,出了错显示也是在exe里面不好跟进去。同事告诉我他们都是用vc6.0来编译dll,然后拿去用就没问题。可能第三方的很多exe和dll都是用vc6.0来 编译的,vc2008有些运行库有点变化不兼容了,没有ex
vc6 调试 附加进程 列表_主编研习 win7系统vc6设置字体颜色的技巧 -win7系统使用教程...
weixin_39542608的博客
10-30 101
大伙都说win7系统性能稳定,使用起来非常顺手;但系统运行时间久了就会出现问题,例如win7系统vc6设置字体颜色的情况,大多用户还是第一次碰到win7系统vc6设置字体颜色的问题,求人不如靠自己,只要找到win7系统vc6设置字体颜色这个问题的原因,就有解决措施,接下来按照下面指导进行操作即可:1、如图是我们的普通的编辑器颜色,可以看到背景是白色的,而字体是黑色的; 2、如果我们需要设置,则...
c++ 调用c++dll_C格式shellcode异或加密生成dll 可过免杀过 Windows Defender
weixin_34093753的博客
01-26 758
C格式shellcode异或加密生成dll 可过免杀过 Windows Defender1简介项目地址:https://github.com/k-fire/shellcode-To-DLL测试环境: winserver2016 cs 4.0编译环境: win10 VS20192原理C格式shellcode异或加密写入dll文件当dll被调用或者被注入进其他进程时触发功能dll功能:解...
vc6 调试 附加进程 列表_今天,进程告诉我线程它它它它不想活了
weixin_39916758的博客
10-21 282
这是Java建设者的第 67 篇原创文章上一篇文章我们解剖了进程和线程的本质,进程和线程的实现方式,这篇文章我们来探讨它们是如何通信的,进程告诉我说线程不想活了,我不管它死活,我只想知道我是谁?进程是怎么告诉我的?进程的出现和线程的死亡和我有必然联系吗?文章为你揭露哟上一篇文章我们解剖了进程和线程的本质,进程和线程的实现方式,这篇文章我们来探讨它们是如何通信的,进程告诉我说线程不想活了,我不管它死...
others_shellcode
最新发布
07-28
others_shellcode是一种外部的、...它可以被黑客选用,注入到受害者主机的内存中,并被执行。由于others_shellcode本身就是已经准备好的机器码程序,所以它可以绕过各种安全措施,不易被检测到,对系统造成更大的威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值