傀儡进程

最新推荐文章于 2024-08-05 23:14:45 发布
最新推荐文章于 2024-08-05 23:14:45 发布
阅读量624 收藏
点赞数
分类专栏: # 隐藏技术 文章标签: 进程 内核 windows
作者:苞米地里捉小鸡 版权声明:本文为博主原创文章,转载请附上博文链接!
本文链接:https://blog.csdn.net/weixin_42709632/article/details/109062248
版权

背景

傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。

函数介绍

1.GetThreadContext

获取指定线程的上下文

2.SetThreadContext

设置指定线程的上下文

3.ResumeThread

减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行

实现原理

(1)第一步

利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程

bRet = ::CreateProcess(pszFilePath,NULL,NULL,NULL,FALSE,CREATE_SUSPENDED,NULL,NULL,&si,&pi)

(2)第二步

使用VirtualAllocEx在目标进程中申请一块内存,这块内存主要用于存放ShellCode数据,写入ShellCode数据使用WriteProcessMemory函数

什么是ShellCode自行百度哈

(3)第三步

使用GetThreadContext函数获取目标进程的线程上下文,然后使用SetThreadContext修改原来进程PE结构的加载基址,将存放ShellCode的地址作为第一执行顺序。

(4)第四步

使用ResumeThread函数恢复挂起进程的线程,让进程按照修改后的EIP继续运行,这一步主要是和第一步挂起主线程对应

目标

该技术主要是为了实现在目标进程中“夹带私货”,运行正常进程的同时运行我们自己想要加载的线程。

其中需要注意的是,在使用GetThreadContext获取线程上下文的时候,一定要对上下文结构中的ContextFlags成员赋值,知名要检索线程上下文的哪些部分,若赋值为CONTEXT_FULL表示获取所有线程的上下文信息。

另外第一步和第四步是对应关系,我们需要先挂起进程,不让他继续运行,然后插入我们的Shellcode后再通过ResumeThead让进程继续运行。

 

 

苞米地里捉小鸡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
傀儡进程注入
qq_40710190的博客
05-08 955
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
傀儡进程学习
0xDQ的博客
10-05 4268
0x00 前言 最近做了一道18年swpuctf的题,分析了一个病毒,正巧都用到了傀儡进程,就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章,如有错误,还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录,再拼上GAME.EXE 进入sub_4011D0 首先寻找资源,做准备工作,进入sub_4012C0 1)检测PE结构 2)CreateProcessA 创建进程 3)GetThreadContext...
傀儡进程详解
N阶二进制的博客
06-21 491
傀儡进程是一种高级的隐蔽技术,攻击者利用进程注入、进程替换和隐藏技术,伪装成合法进程进行恶意活动。理解这些技术及其防范措施对于保护系统安全至关重要。希望通过此详解和示例,大家能更好地理解傀儡进程的工作原理和防范方法。
创建傀儡进程
挖树
10-14 968
折腾好久,总算完成了自己第一次的傀儡进程编写。 效果:使当前进程创建一个子进程(同名) 掏空子进程,注入任何自己编写好的其他exe。 注意点 1.用来创建傀儡进程的父进程程序 需要是32位程序,因为编码的程序本身就是win32控制台程序 2.注入到进程中的程序32位,64位都行 3.pe结构取值时一定一定要留心是否需要加基址。 4.注意区分CUI程序和GUI程序,如果代码编写的是32位控制台程序,...
进程注入之创建傀儡进程
yeanhoo的博客
10-19 1738
傀儡进程:创建一个进程,然后将其虚拟地址里的内容掏空,注入想要注入的进程,以达到掩人耳目的效果 步骤: 1.以挂起的方式创建一个进程 2.卸载该进程的内存映射,即掏空该进程虚拟内存空间中的内容 3.获取该进程的CONTEXT上下文结构 4.将要注入的程序读入到内存中 5.在傀儡进程中申请足够的内存空间 6.手动将要注入的程序写入傀儡进程中所申请的内存空间 6.设置CONTEXT上下文的Eax为程序...
创建傀儡进程代码
Sven的忘却日记
07-29 2015
相比传统的创建傀儡进程的方法,更简单粗暴一些,不用卸载目标进程空间内存。直接利用现有内存进行覆盖写入即可。 减少了一些步骤。 具体步骤: 1.挂起模式创建svchost.exe 2.获取进程入口点 3.将shellcode写到入口点 4.恢复线程执行 #include "stdafx.h" #include <windows.h> #include <Winternl.h>...
傀儡进程技术分析
darcy_123的博客
10-13 1012
前言: 傀儡进程是将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程;常常有恶意程序将隐藏在自己文件内的恶意代码加载进目标进程,而在加载进目标进程之前,会利用ZwUnmpViewOfSection或者NtUnmapViewOfSection进行相关设置 相关技术要点 1.创建挂起进程 系统函数CreateProcessW中参数dwCreation传递CREATE_SUSP...
[Rootkit] 傀儡进程
LYSM
08-16 1233
实现原理: 以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。 实现过程: (1).调用CreateProcess以挂起的方式(CREATE_SUSPENDED)创建进程 (2).调用VirtualAllocEx函数申请一个可读、可写、可执行的内存 (3).调用WriteProcessMemory将Shellcode数据写入刚申请的内存中 (4).调用Ge
滴水加密壳,类似傀儡进程
pluginL的博客
04-13 181
还有就是滴水给出的细节没给全,因为我的试验是,两个软件如果文件对齐,内存对齐是一样的就能运行,否则不行。我试了两组例子,一组1000 10000,一组1000 200,一样就能够运行,不一样就不行。该踩的坑有,ASLR基址,大意就是不能修改imagebase不然后系统一检测到就报c0000005,所以大多数软件都不需要修复重定位表,大部分imagebase都是0x400000。我猜测是因为上下文里还有需要修改的东西。总之是一项过时的技术,体验思路就行,没必要抓着这些细枝末节刨根问底。
SpringBoot基础 第一天
2301_80034662的博客
08-05 300
Person类中利用ConfigurationProperties(prefix=" ")引入配置类中的元素 但是注意Person类中的类的名字必须与application.yaml中一致。如果不是标准的application.properties 是其他的Person类中需要用PropertySource来添加配置文件的路径。给容器中添加组件,将方法的返回值添加到容器中 容器中这个组件的默认ID就是方法名。的配置文件,我们自己编写的配置文件,也不能自动识别;的配置文件,让配置文件里面的内容生效;
【Python】列表元素排序:itertools.permutations()
持续更新中...
08-05 395
This tool returns successive r length permutations of elements in an iterable.If r is not specified or is None, then r defaults to the length of the iterable, and all possible full length permutations are generated.Permutations are printed in a lexicograph
Maven实战.插件
weixin_37799575的博客
07-31 563
除了内置绑定以外,用户还能够自己选择将某个插件目标绑定到生命周期的某个阶段上,这种自定义绑定方式能让 Maven 项目在构建过程中执行更多更富特色的任务。一个常见的例子是创建项目的源码 jar 包,内置的插件绑定关系中并没有涉及这一任务,因此需要用户自行配置。
C#中的foreach和自定义比较
weixin_64532720的博客
08-05 785
在C#中,如果你想要使用自己定义的排序方式,你可以实现或IComparer接口,然后使用这个实现来自定义排序逻辑。以下是如何实现定义学生类set;set;​Age = age;实现 IComparer<Student> 接口// 根据年龄进行升序排序使用自定义比较器对集合进行排序​// 创建自定义比较器的实例​// 使用自定义比较器对集合进行排序如果你想要实现降序排序,可以在Compare// 根据年龄进行降序排序或者,你可以创建两个不同的比较器类,一个用于升序,一个用于降序。
Stream 33
2301_81744437的博客
08-02 196
代码】Stream 33。
07.FreeRTOS列表与列表项
L的博客
08-05 493
本文涉及FreeRTOS列表与列表项。包括列表和列表项的简介、列表相关API函数、代码验证。
C#学习笔记14:SYN6288语音模块_Winform上位机控制软件
NULL指向我的博客
08-05 567
今日尝试使用C# Winform写一个上位机软件控制 SYN6288语音模块 这里不讲什么基本原理(或者讲的比较略简),直接讲实现了就...... 文章提供测试代码讲解、测试效果图、整体测试工程下载
STL—容器—list【list的介绍和基本使用】【list的迭代器失效问题】
aaa114514aaaa的博客
08-05 544
有关list的学习了解和基本接口的使用,能基本的使用list容器。分析了list迭代器失效的相关问题
fastjson-小于1.2.47绕过
08-02 1142
看第二个位置能否利用,是在loadClass里面,我们可以看到这个loadClass用法就是,在缓存中没找到的类加载时把这个类加进缓存中。可以看到loadClass的方法,被替换了,主要的安全逻辑就在替换的方法里,跟进看替换的方法。在上面分析时,我们也能注意到,在loadClass中有对传入类名的处理,对数组类进行处理,把。而MiscCodec的利用就是在加载默认的反序列化器时,Class的反序列化器也是它。所以绕过思路有了,我们先反序列化一个Class,它的值为恶意类,之后再反序列化恶意类。
C#中的list集合
最新发布
weixin_64532720的博客
08-05 289
提供了一种灵活的方式来存储和管理一个对象数组,并且可以动态地增加和删除元素。是一个泛型集合类,它实现了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值