摘要:
Module Stomping注入 Module Stomping(又称为Module Overloading,又称为DLL Hollowing)技术 工作原理:将一些正常DLL注入到目标进程中,寻找 AddressOfEntryPoint,并使用Shellcode覆盖AddressOfEntryP 阅读全文
posted @ 2023-01-03 22:45
瑞皇
阅读(567)
评论(0)
推荐(0)
摘要:
APC Early Bird注入 1、创建傀儡进程 2、申请一段内存空间,写入Shellcode 3、QueueUserAPC添加APC队列 4、ResumeThread激活进程 #include <Windows.h> int main() { unsigned char buf[] = { 0x 阅读全文
posted @ 2023-01-03 21:32
瑞皇
阅读(199)
评论(0)
推荐(0)
摘要:
Thread Hijacking注入 通过线程劫持,注入远程进程 1、通过PID打开目标进程,并申请一段空间,写入shellcode 2、拍摄快照,遍历进程,打开ID 3、挂起该进程,保存线程变量,设置上下文为我们希望执行的Shellcode,恢复线程变量 4、ResumeThread激活程序继续执 阅读全文
posted @ 2023-01-03 21:02
瑞皇
阅读(275)
评论(0)
推荐(0)
摘要:
ProceHolling傀儡进程注入 1、CreateProcess创建傀儡进程 2、UnmapViewOfSection卸载傀儡进程的内存映射 3、CreateFile+ReadFile读取进程2 4、WriteProcessMemory将HEADER、区块、ImageBase进行替换 5、Set 阅读全文
posted @ 2023-01-03 20:37
瑞皇
阅读(254)
评论(0)
推荐(0)
浙公网安备 33010602011771号