![](https://img-blog.csdnimg.cn/20190927151026427.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
隐藏技术
进程伪装
傀儡进程
进程隐藏
DLL挟持
苞米地里捉小鸡
程序蒟蒻
展开
-
DLL挟持
背景如果在进程尝试加载一个DLL时没有指定DLL的绝对路径,那么Windows会尝试去指定的目录下查找这个DLL;如果攻击者能够控制其中的某一个目录,并且放一个恶意的DLL文件到这个目录下,这个恶意的DLL便会被进程所加载,从而造成代码执行,这就是所谓的DLL劫持。由于DLL劫持技术简单有效,故被病毒木马广泛应用。接下来,将介绍DLL劫持技术实现过程DLL劫持技术的原理是当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任原创 2020-10-14 15:46:11 · 428 阅读 · 0 评论 -
劫持ZwQuerySystemInformation进行进程隐藏
背景进程隐藏,顾名思义就是运行注入程序之后,可以在任务管理器中让可见的目标进程消失。当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码注入、进程内存替换、HOOK API 等等。我们本文要介绍的就是 HOOK API 函数 ZwQuerySystemInformation 实现的隐藏指定进程。主要思路是通过Hook API技术抓ZwQuerySystemInformation函数,对它获取的进程列表信息进行修改,把有我们要隐藏的进程信息从中去掉,那么 ZwQuerySystemIn原创 2020-10-14 11:39:33 · 945 阅读 · 0 评论 -
傀儡进程
背景傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。函数介绍1.GetThreadContext获取指定线程的上下文2.SetThreadContext设置指定线程的上下文3.ResumeThread减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行实现原理(1)第一步利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程bRet = ::CreateProcess(pszFilePat原创 2020-10-13 22:35:40 · 622 阅读 · 0 评论 -
使用NtQueryInformationProcess伪装进程
背景所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。实现原理具体实现原理如下:(1)首先通过OpenProcess函数获取指定PID进程的句柄(2)然后,通过GetProcAddress获取位于ntdll.dll动态链接库中的NtQueryInformationProcess这个未导出的API该函数返回一个NTSTATUS状态码原创 2020-10-13 21:15:56 · 1229 阅读 · 1 评论