01 2023 档案

逆向技巧——从混淆说明IDA Python脚本的使用
摘要:之前工作的时候,遇到过病毒需要使用IDA python进行反混淆的问题,但是由于病毒的工作量较大、前置步骤多,没有很好的总结。 闲下来了,有空了,根据网上的Demo做个实验记录一下。 一、代码部分 混淆程序如下,VS编译即可: 源代码中asm需要添加斜杠表达连接,原文中未加入反斜杠,报错了。 #in 阅读全文
posted @ 2023-01-25 22:16 瑞皇 阅读(941) 评论(0) 推荐(0)
注入—Module Stomping注入
摘要:Module Stomping注入 Module Stomping(又称为Module Overloading,又称为DLL Hollowing)技术 工作原理:将一些正常DLL注入到目标进程中,寻找 AddressOfEntryPoint,并使用Shellcode覆盖AddressOfEntryP 阅读全文
posted @ 2023-01-03 22:45 瑞皇 阅读(649) 评论(0) 推荐(0)
注入—APC Early Bird注入
摘要:APC Early Bird注入 1、创建傀儡进程 2、申请一段内存空间,写入Shellcode 3、QueueUserAPC添加APC队列 4、ResumeThread激活进程 #include <Windows.h> int main() { unsigned char buf[] = { 0x 阅读全文
posted @ 2023-01-03 21:32 瑞皇 阅读(208) 评论(0) 推荐(0)
注入—Thread Hijacking注入
摘要:Thread Hijacking注入 通过线程劫持,注入远程进程 1、通过PID打开目标进程,并申请一段空间,写入shellcode 2、拍摄快照,遍历进程,打开ID 3、挂起该进程,保存线程变量,设置上下文为我们希望执行的Shellcode,恢复线程变量 4、ResumeThread激活程序继续执 阅读全文
posted @ 2023-01-03 21:02 瑞皇 阅读(307) 评论(0) 推荐(0)
注入—ProceHolling傀儡进程注入
摘要:ProceHolling傀儡进程注入 1、CreateProcess创建傀儡进程 2、UnmapViewOfSection卸载傀儡进程的内存映射 3、CreateFile+ReadFile读取进程2 4、WriteProcessMemory将HEADER、区块、ImageBase进行替换 5、Set 阅读全文
posted @ 2023-01-03 20:37 瑞皇 阅读(288) 评论(0) 推荐(0)
注入—AddressOfEntryPoint入口点注入
摘要:AddressOfEntryPoint入口点注入 通过修改进程入口点,进行Shellcode注入。 1、首先使用CreateProcess函数创建进程,并且将参数填写为CREATE_SUSPENDED这代表新进程的主线程被挂起了 2、然后定位AddressOfEntryPoint入口点,使用Writ 阅读全文
posted @ 2023-01-02 23:02 瑞皇 阅读(594) 评论(0) 推荐(0)
注入—APC注入
摘要:APC注入 APC注入即异步过程调用,APC是一个链状的数据结构,可以让一个线程在其原本的执行步骤前执行其他代码,每个线程都维护一个APC链。当线程从等待状态苏醒后,自动检测自己的APC队列中是否存在APC过程。 只需要将目标的线程的APC队列中添加APC过程,为了提高命中率可以向线程的所有线程中添 阅读全文
posted @ 2023-01-02 16:28 瑞皇 阅读(304) 评论(0) 推荐(0)