整理笔记时发现之前留下的资料,抛砖引玉,分享给大家。
常见注入 *** | OpenProcess VirtualAllocEx WriteProcessMemory CreateRemoteThread | |
DLL注入 | LoadLibrary/LoadLibraryEx GetProcAddress SetWindowsHookEx | 钩子注入 |
APC注入 | CreateToolhelp32Snapshot Process32First Thread32First Thread32Next Process32Next OpenProcess VirtualAllocEx WriteProcessMemory QueueUserAPC/NtQueueApcThread VirtualFreeEx CloseHandle | 异步过程调用中断 |
Atom Bombing注入 | CreateToolhelp32Snapshot Thread32First Thread32Next, OpenThread CreateEvent DuplicateHandle NtQueueApcThread QueueUserAPC GetModuleHandle GetProcAddress SetEvent GetCurrentProcess SleepEx WaitForMultipleObjectsEx MsgWaitForMultipleObjectsEx CloseHandle | 据说可以绕过所有Windows AV查杀机制? |
ALPC注入 | NtQuerySystemlnformation NtDuplicateObject/ZwDuplicateObject GetCurrentProcess NtQueryObject NtClose RtllnitUnicodeString NtConnectPort VirtualAllocEx WriteProcessMemory CopyMemory ReadProcessMemory VirtualFreeEx VirtualQueryEx GetMappedFileName, OpenProcess CloseHandle GetSystemlnfo | Advanced/Asynchronous Local Procedure Call |
LOCKPOS | CreateFileMappingW MapViewOfFile RtlAllocateHeap NtCreateSection NtMapViewOfSection NtCreateThreadEx | 与僵尸 *** Flokibot使用类似的注入技术 |
Hollowing注入 | CreateProcess NtQueryProcesslnformation ReadProcessMemory GetModuleHandle GetProcAddress ZwUnmapViewOfSection/NtUnmapViewOfSection VirtualAllocEx WriteProcessMemory VirtualProtectEx SetThreadContext ResumeThread | 进程替换和RunPE,见封装工具:RISCyPacker |
DOPPELGANGING | CreateFileTransacted WriteFlle NtCreateSection RollbackTransaction NtCreateProcessEx RtICreateProcessParametersEx VirtualAllocEx WriteProcessMemory NtCreateThreadEx NtResumeThread | 类似Hollowing,参考:https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdf |
REFLECTIVE反射注入 | CreateFileA HeapAlloc OpenProcessToken OpenProcess VirtualAlloc GetProcAddress LoadRemoteLibraryR/LoadLibrary HeapFree CloseHandle | 也可通过封装ReflectiverLoader实现 |
线程执行劫持 | RtlAdjustPrivilege OpenProcess CreateToolhelp32Snapshot Thread32First Thread32Next CloseHandle VirtualAllocEx OpenThread VirtualFree/VirtualFreeEx SuspendThread GetThreadContext VirtualAlloc WriteProcessMemory SetThreadContext ResumeThread |
其实现 *** 可在github上搜索源码,还有一些常见的 *** (如注册表Appinit_DLL, AppCertDlls, IFEO)和不常见的hook *** (如EWMI),后期再整理...
日本也开始老调重弹,打起“国家安全”幌子。路透社30日援引6名日本政府和执政党知情人士的话称,作为加强国家安全的广泛努力的一部分,日本可能实际上禁止中国向其政府提供无人机,以保护敏感信息。 ...
丹麦建筑工作室 EFFEKT在一项竞赛中大获全胜,该竞赛旨在在丹麦西南部埃斯比约的一座坍塌的火车引擎机顶棚内及附近设计街头体育设施。EFFEKT将改造围绕圆形转盘布置的旧机车维修棚,并以滑板运动为中心...
蚂蚁庄园小课堂8月13日今日支付宝答案!相信很多玩家都不知道这个答案,答对就可以领取到180g小鸡饲料。以上是支付宝蚂蚁庄园小课堂2020年8月13日的题目,那么你们知道答案是什么吗? 蚂蚁庄园8月...
投资一定要找正规的公司对接人,投资有风险,一定要了解清楚之后,合理的投资,我是影视顾问小马,专注影视投资,项目认购,鉴别渠道v:13197328301 电影简介: 片名:《战疫英雄》 类型:励志 制片...
一、cmd命令大全下载黑客接单流程 1、黑客接单这种浪费伤害了每个人。cmd命令大全下载安卓手机工具软件阅读其代码。女生当好吗cmd命令大全下载XXX接单中国最年轻的黑客毫无疑问,黑客们正在为计算机保...
滦南县2019年部分事业单位公开招聘工作人员公告 根据《事业单位人事管理条例》《河北省事业单位公开招聘工作人员暂行办法》,为满足我县部分事业单位工作需要,经研究决定,面向社会公开招聘事业编制工作人员...