傀儡进程脱壳三步曲

傀儡进程创建过程：

(1) 通过CreateProcess以CREATE_SUSPENDED方式创建一个进程。

(2) GetThreadContext获取挂起进程CONTEXT。

(3) ZwUnmapViewOfSection卸载挂起进程内存空间数据；

(4) VirtualAlloc分配内存空间；

(5) WriteProcessMemory将恶意代码写入分配的内存；

(6) SetThreadContext设置挂起进程状态；

(6) ResumeThread唤醒进程运行

 

1.ZwResumeThread设置断点。

父进程对傀儡进程写入数据并设置线程上下文后会调用ZwResumeThread唤醒线程运行。

 

2.Dump傀儡进程

当ZwResumeThread断下后，使用PChunter Dump傀儡进程。

右键--查看--查看进程内存

 点击Dump保存为exe文件。

 

3.修正区段信息

LoadPE载入dump后的程序，查看区段信息

修正后

搞定，完美运行~