自己的小白

摘要： 实现原理： 修改进程环境块中的进程路径以及命令行信息，从而达到进程伪装的效果。所以，实现的关键在于进程环境块的获取。可以通过ntdll.dll中的导出函数NtQueryInformationProcess来获取指定进程的PEB地址。因为该程序进程可能与目标进程并不在同一个进程内。由于进程空间独立性的 阅读全文

摘要： 实现原理： windows系统可以设置计划任务来执行一些定时任务。创建一个计划任务，设置任务的触发条件以及执行操作。将触发条件设置为用户登录，执行操作设置为启动目标程序。这样，程序就可以实现开机自启动功能了。 注意：创建计划任务要求程序必须要有管理员权限。 实现过程： (1).初始化操作 1.初始化 阅读全文

摘要： 前言： 实现开机自启动的途径和方式有很多种，其中修改注册表方式应用最为广泛。注册表相当是操作系统的数据库，记录着系统中方方面面的数据，其中也不乏直接或间接导致开机自启动的数据。 实现原理： windows提供了专门的开机自启动注册表。在每次开机完成后，它都会在这个注册表键下遍历键值，以获取键值中的程 阅读全文

摘要： 前言： 将DLL文件作为资源插入到自己程序中的方法，前面已经说过了。附上链接：MFC —— 资源文件释放（为了程序更简洁） 程序需要动态调用DLL文件，内存加载运行技术可以把这些DLL作为资源插入到自己的程序中。此时直接在内存中加载运行即可，不需要再将DLL释放到本地。 实现原理： 将资源加载到内存 阅读全文

摘要： 前言： 在一个进程中创建并启动一个新进程，无论是对于病毒木马程序还是普通的应用程序而言。这都是一个常见的技术，最简单的方法无非是直接通过调用WIN32 API函数创建新进程。用户层上，微软提供了WinExec、ShellExecute和CreateProcess等函数来实现进程创建 实现代码： // 阅读全文

摘要： 前言： "APC"是"Asynchronous Procedure Call"(异步过程调用)的缩写，它是一种软中断机制，当一个线程从等待状态中苏醒时(线程调用SignalObjectAndWait 、SleepEx、WaitForSingleObjectEx、WaitForMultipleObje 阅读全文

摘要： 前言： 之前提到，由于SESSION 0隔离机制，导致传统远程线程注入系统服务进程失败。经过前人的不断逆向探索，发现直接调用 ZwCreateThreadEx 函数将其第7个参数 CreateSuspended（CreateThreadFlags）的值置为零可以进行远程线程注入，还可以突破 SESS 阅读全文

摘要： 前言： windows中大部分的应用程序都是基于消息机制的，它们都有一个消息过程函数，根据不同的消息完成不同的功能。而消息钩子是windows提供的一种消息过滤和预处理机制，可以用来截获和监视系统中的消息。按照钩子作用范围不同，又可以分为局部钩子和全局钩子。局部钩子是针对某个线程的，而全局钩子是作用 阅读全文

摘要： 应用场景： 病毒木马会广泛常用资源文件释放技术。程序会将一些DLL文件、文本文件、图片文件或其它的音/视频文件作为资源插入到程序里，等到程序运行后，使用资源文件释放技术将它们释放到本地上，这样编译出来的程序只有一个exe文件，而不需要附带其它文件，因而程序变得简洁，降低了被发现的风险。 资源插入的步 阅读全文

摘要： 如图代码块，查了后找到解决办法。 首先F12， 找到选择元素的 选择空白代码块 直接右键delete element 阅读全文