随笔分类 -  注入

注入—Module Stomping注入
摘要:Module Stomping注入 Module Stomping(又称为Module Overloading,又称为DLL Hollowing)技术 工作原理:将一些正常DLL注入到目标进程中,寻找 AddressOfEntryPoint,并使用Shellcode覆盖AddressOfEntryP 阅读全文
posted @ 2023-01-03 22:45 瑞皇 阅读(669) 评论(0) 推荐(0)
注入—APC Early Bird注入
摘要:APC Early Bird注入 1、创建傀儡进程 2、申请一段内存空间,写入Shellcode 3、QueueUserAPC添加APC队列 4、ResumeThread激活进程 #include <Windows.h> int main() { unsigned char buf[] = { 0x 阅读全文
posted @ 2023-01-03 21:32 瑞皇 阅读(208) 评论(0) 推荐(0)
注入—Thread Hijacking注入
摘要:Thread Hijacking注入 通过线程劫持,注入远程进程 1、通过PID打开目标进程,并申请一段空间,写入shellcode 2、拍摄快照,遍历进程,打开ID 3、挂起该进程,保存线程变量,设置上下文为我们希望执行的Shellcode,恢复线程变量 4、ResumeThread激活程序继续执 阅读全文
posted @ 2023-01-03 21:02 瑞皇 阅读(310) 评论(0) 推荐(0)
注入—ProceHolling傀儡进程注入
摘要:ProceHolling傀儡进程注入 1、CreateProcess创建傀儡进程 2、UnmapViewOfSection卸载傀儡进程的内存映射 3、CreateFile+ReadFile读取进程2 4、WriteProcessMemory将HEADER、区块、ImageBase进行替换 5、Set 阅读全文
posted @ 2023-01-03 20:37 瑞皇 阅读(289) 评论(0) 推荐(0)
注入—AddressOfEntryPoint入口点注入
摘要:AddressOfEntryPoint入口点注入 通过修改进程入口点,进行Shellcode注入。 1、首先使用CreateProcess函数创建进程,并且将参数填写为CREATE_SUSPENDED这代表新进程的主线程被挂起了 2、然后定位AddressOfEntryPoint入口点,使用Writ 阅读全文
posted @ 2023-01-02 23:02 瑞皇 阅读(596) 评论(0) 推荐(0)
注入—APC注入
摘要:APC注入 APC注入即异步过程调用,APC是一个链状的数据结构,可以让一个线程在其原本的执行步骤前执行其他代码,每个线程都维护一个APC链。当线程从等待状态苏醒后,自动检测自己的APC队列中是否存在APC过程。 只需要将目标的线程的APC队列中添加APC过程,为了提高命中率可以向线程的所有线程中添 阅读全文
posted @ 2023-01-02 16:28 瑞皇 阅读(306) 评论(0) 推荐(0)
注入—远程线程注入
摘要:远程线程注入 生成一段Shellcode,用于弹出计算器,若注入成功,则弹出成功。 MSF命令如下: 弹出计算器CALC msfvenom -p windows/exec cmd=calc.exe -f raw -o shellcode.bin 弹出CMD msfvenom -p windows/e 阅读全文
posted @ 2022-12-31 21:15 瑞皇 阅读(656) 评论(0) 推荐(0)