反射DLL

最新推荐文章于 2024-05-17 14:47:31 发布
最新推荐文章于 2024-05-17 14:47:31 发布
阅读量1k 收藏 1
点赞数
分类专栏: 漏洞

https://ijustwannared.team/2018/02/13/reflective-dlls-and-you/amp/

这篇文章是关于反射动态链接库(DLL)的,并将简单介绍如何编写一个。这是由Stephen Fewer开发的一种技术,将使用他的代码来实现魔术。我意识到这是一个已经讨论过几次的话题,所以我要保持这篇文章简单而紧凑。

参考

什么是DLL?DLL是可移植代码,通常由应用程序共享。但是,对于这篇文章,DLL是执行代码的机会。为什么甚至打扰这个?如果我们的目标是执行代码,为什么不写一个exe到磁盘?暂时考虑一下脚印:写入磁盘,创建进程,然后进行处理; 它可以匆忙加起来。输入DLL以及如何将它们加载到内存中。

通常,DLL在进程启动时被加载到内存中; 但是,它们也可以注入已经运行的过程中。通过DLL注入,我们不再需要创建一个执行代码的过程(各种DLL注入技术); 然而,我们仍然需要将我们的文件写入磁盘才能注入。反射DLL注入解决了这个问题。由Stephen Fewer开发,这种技术允许我们将代码注入现有流程而无需写入磁盘。因此,使用反射DLL注入,我们从写入到磁盘并创建一个过程,将我们的代码完全注入内存...谢谢Stephen。

如何保护和检测

端点保护平台(EPP)开始标记这些技术。就个人而言,我会使用我的EPP软件探索端点上的反射DLL注入,以识别任何限制。此外,反射DLL通常会使用Windows API调用执行恶意代码,这是一个潜在的检测点。例如,createremotethread是一种在远程进程中执行shellcode的流行技术。

在观看了拉斐尔关于记忆内逃避的最新帖子后,还有其他一些工具:

 

演练

本演练将使用Visual Studio 2017完成。

  • 下载Stephen Fewer的Reflective DLL存储库
  • 创建一个新项目:C ++ - > Windows桌面 - >动态链接库
  • 删除stdafx.h,stdafx.cpp,targetver.h和*项目名* .cpp
  • 从Reflective DLL存储库中,复制并将ReflectiveDLLInjection.h,ReflectiveLoader.c和ReflectiveLoader.h添加到项目中。
  • Pic1Pic1
  • 项目 - >属性
    • 转到C / C ++ - >预编译标题 - >将预编译标题设置为“不使用预编译标题”(因为我们删除了stdafx.h)
    • C / C ++ - >预处理器 - >预处理器定义 - >将处理器定义设置为以下(对于x64 DLL,WIN64和WIN_X64而不是WIN32和WIN_X64 ......我意识到有更好的方法):
WIN32; WIN_X86; NDEBUG; _WINDOWS; _USRDLL; RDLL_EXPORTS; REFLECTIVE_DLL_EXPORTS;              REFLECTIVEDLLINJECTION_VIA_LOADREMOTELIBRARYR; REFLECTIVEDLLINJECTION_CUSTOM_DLLMAIN;

                                 Pic2.png

Pic2.png

  • dllmain.cpp应如下所示:
    • 注意,lpReserved保留用于在执行期间可以传递给我们的代码的参数(或shellcode)。我确信Metasploit可以传递参数,但我不知道如何做到这一点。Cobalt Strike绝对有效且可以在这里找到信息@bdllspawn
// dllmain.cpp : Defines the entry point for the DLL application.
#include "ReflectiveLoader.h"
#include <stdio.h>
void PartyTime()
{ 
   MessageBox(0, "PartyTime", "PartyTime", MB_OK); 
   return;
}

extern "C" HINSTANCE hAppInstance;
BOOL APIENTRY DllMain( HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved )
{    
   switch (ul_reason_for_call)    
   { 
      case DLL_QUERY_HMODULE: 
         if (lpReserved != NULL) 
            { 
               *(HMODULE *)lpReserved = hAppInstance; 
            } 
         break; 
      case DLL_PROCESS_ATTACH: 
         hAppInstance = hModule; 
         if (!lpReserved != NULL) 
         { 
            printf("Parameter passed to Reflective DLL: %s", (char *)lpReserved); 
         } 
         else 
         { 
            printf("No parameter passed to Reflective DLL"); 
         } 
         PartyTime(); 
         fflush(stdout); 
         ExitProcess(0); 
         break;    
      case DLL_THREAD_ATTACH:    
      case DLL_THREAD_DETACH:    
      case DLL_PROCESS_DETACH:        
      break;    
   }    
   return TRUE;
}

编译

通过我们的反射DLL编译(希望如此),我们应该能够在不写入磁盘的情况下进行注入。Metasploit,Cobalt Strike和Empire(假设)都有用于注入自定义书面反射DLL的后期开发模块。

来自Metasploit

Pic6.png

 

在WIN10-DM的桌面上

Pic7.png

Pic7.png这种技术是一种古老而又善良的技术。如果您已经使用过任何流行的C2平台,那么您可能已经使用了反射DLL注入。安全解决方案在捕获这样的内存技术方面变得越来越好,但是高级威胁参与者在调整他们的技术方面也变得越来越好。在我看来,测试你的安全解决方案反对基本反射DLL注入以了解它们的表现并不是一个坏主意。像Meterpreter,Empire(假设)和Cobalt Strike这样的后期开发工具也使用反射式DLL,看看究竟是什么标记以及原因可能是个好主意。

TYW----子曰小玖
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(七).net之反射、加载dll、读取moudle、类、方法、特性
lwy
11-22 1188
反射、加载dll、读取moudle、类、方法、特性
Reflector 反编译DLL
碧波海天
09-24 9723
刚接触.net 时就听说 Reflector这个强大反编译工具呢,只是一直没有去使用他. 反编译后的代码除了变量名不同外,其它基本上是一至的,把反编译后的代码导到相关的文件里(要用到插件),再用vs.net编译,全部通过,真是爽呀.围绕Reflecto开发的插件也很非常多,在网搜索了一下基本到是下面这些. Reflector.FileDisassembler Reflector.Cod
反射dll注入(ReflectiveDLLInjection)
随心动,随风行
04-30 3826
学习基于stephenfewer大佬的项目:ReflectiveDLLInjection 有兴趣的同学可以下载研究
反射注入dll-修改实现免杀过360
bring_coco的博客
07-05 872
getAdvapi32()函数也是LoadLibrary(“advapi32.dll”)的变形,和getKernel32作用一样,只不过是函数所在的dll不同,写成汇编形式避免检测,但是使用getAdvapi32()生成会无法注入(具体原因不清除,之后再研究吧),那么我这里注释掉,仅仅用了getKernel32函数。获得的pCFA就是原始的CreateFileA函数了,只不过被我们定义成了自己的,这样就会规避检测了,那么剩下的三处也是同样方法修改,具体参考上面给的代码。
Cobalt Strike 反射DLL
最新发布
qq_18811919的博客
05-17 283
Cobalt Strike 反射DLL使用
一种Reflective DLL注入后的DLL卸载处理
柳似烟的专栏
03-25 1124
ReflectiveDLL注入后的一种触发DLL卸载操作
C#使用反射(Reflect)获取DLL文件中的类型,创建对象并调用对象的方法。
sxg123的博客
11-28 976
Activator.CreateInstance(Type type) 这是一个通用的实例化对象方法,可以创建任意类型的对象。我们只需要将要创建的对象的类型作为参数传递给Activator.CreateInstance方法即可。返回的是一个object类型的实例,需要进行类型转换后才能调用具体的成员。Type.GetConstructor(Type[] types).Invoke(object[] parameters) 这种方式通过构造函数来实例化对象。首先,我们需要使用Type.GetConstruct
C#使用反射(Reflect)获取dll文件中的类型并调用方法
08-26
主要为大家详细介绍了C#使用反射(Reflect)获取dll文件中的类型并调用方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Doge-sRDI:Golang的反射DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode
04-01
Golang的反射DLL注入的Shellcode实现。 将DLL转换为与位置无关的Shellcode 非常感谢Sliver项目和leoloobeek 用法 srdi.exe [dllName] [Args(不必要)] [entryPoint(不必要)] PS D:\> .\srdi.exe .\Outflank-...
动态反射使用外部dll接口方法
01-13
这个“动态反射使用外部dll接口方法”的示例,旨在教会开发者如何利用C#语言和.NET框架来调用外部DLL中的接口方法,而无需在编译时硬编码这些调用。 首先,我们要理解什么是动态反射。动态反射是通过System....
Reflective DLL Injection
04-02
stage2 shellcode生成程序,可以把不同的shellcode,转换成stage2 shellcode。
很不错的反射Dll工具 -- Reflector
02-11
《深入解析Reflector:强大的C#反射Dll工具》 Reflector是一款备受赞誉的反编译工具,特别适用于C#开发者,它能清晰地揭示DLL文件内部的属性和方法,为程序员提供宝贵的洞察力。本文将深入探讨Reflector的核心功能...
.NET中反射的应用 获取Dll参数
04-06
标题提到的".NET中反射的应用 获取Dll参数",指的是通过反射来获取DLL(动态链接库)中的类、方法、参数等元数据。这在需要动态调用DLL中的功能或者需要在不修改原有代码的情况下扩展功能时非常有用。下面将详细介绍...
【ReflectDllInjection】 反射DLL注入
dr0op's blog
04-06 3196
常规dll注入 这里引用一张图来表示: 反射DLL注入思路: 读入原始DLL文件至内存缓冲区 解析DLL标头并获取SizeOfImage 将DLL标头和PE节复制到步骤3中分配的内存空间 执行重定位 加载DLL导入的库 解析导入地址表(IAT) 调用DLLDLL_PROCESS_ATTACH 反射dll注入与其他dll注入不同的是,其不需要使用LoadLibrary这一函数,而是自己来实现整个装载过程。我们可以为待注入的DLL添加一个导出函数,ReflectiveLoader,这个函数的功能就是
dll注入系列——内存加载
40KO的博客
04-11 5686
0x0废话 dll注入的方式和程序正常加载dll模块的本质上是相同的,无非是通过导入表加载,利用LoadLibrary加载和一些系统机制强制加载。要使程序动态加载一个dll文件,也就是执行程序原本没有的代码,势必要改变程序的控制流,创建一个新的线程可以做到这件事。最简单的远线程注入就是利用CreateRemoteThread和LoadLibrary两个API来完成了。 关于注入的介绍及两种经...
Dll加载进内存
yan_star的博客
03-13 1664
MmLoadDll.cpp #include "stdafx.h" #include &lt;windows.h&gt; #include "MmLoadDll.h" void ShowError(char *lpszText) { char szErr[MAX_PATH] = { 0 }; sprintf(szErr, "%s Error [%d]\n", lpszText, G...
reflective dll injection 反射注入
hambaga的博客
02-20 1476
一、reflective dll injection 反射注入介绍 网上对反射注入的定义是只通过内存把DLL注入到特定进程中,也就是说整个过程都不涉及文件操作。 优点 规避杀软基于文件系统的检测 不会在进程的DLL链表里留下记录 通过特殊处理,可以使用正常的方式编写DLL,实现shellcode的效果 缺点 DLL体积较大,相比于shellcode注入,更容易被检测 二、修改dos头,填入精心构造的 bootstrap shellcode metasploit 实现的bootstrap
反射dll注入
摔不死的笨鸟的博客
08-27 6449
前不久实现了经典dll注入exe,实现注入到用户层面进程,比如notepad.exe和wps.exe。(像金山毒霸kxetray.exe有自我保护机制也注入不进去)。由于对会话隔离注入不太了解,怕搞坏主机,没有再去实现注入到系统进程中。最近在网上看到dll反射注入,想把学习总结的笔记给大家分享一下。 首先什么是反射式注入?它和传统经典注入有什么区别呢?我这里作个比喻。 经典式: 在别人的内存里调用...
c#反射调用dll中的方法
06-01
要调用DLL中的方法,需要使用C#中的反射。以下是一个简单的示例: 首先,加载DLL文件: ``` Assembly assembly = Assembly.LoadFrom("yourDll.dll"); ``` 然后,获取要调用的类的Type: ``` Type type = ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值