笔记分享:各种注入 *** Windows API组合
整理笔记时发现之前留下的资料,抛砖引玉,分享给大家。
| 常见注入 *** | OpenProcess VirtualAllocEx WriteProcessMemory CreateRemoteThread | |
| DLL注入 | LoadLibrary/LoadLibraryEx GetProcAddress SetWindowsHookEx | 钩子注入 |
| APC注入 | CreateToolhelp32Snapshot Process32First Thread32First Thread32Next Process32Next OpenProcess VirtualAllocEx WriteProcessMemory QueueUserAPC/NtQueueApcThread VirtualFreeEx CloseHandle | 异步过程调用中断 |
| Atom Bombing注入 | CreateToolhelp32Snapshot Thread32First Thread32Next, OpenThread CreateEvent DuplicateHandle NtQueueApcThread QueueUserAPC GetModuleHandle GetProcAddress SetEvent GetCurrentProcess SleepEx WaitForMultipleObjectsEx MsgWaitForMultipleObjectsEx CloseHandle | 据说可以绕过所有Windows AV查杀机制? |
| ALPC注入 | NtQuerySystemlnformation NtDuplicateObject/ZwDuplicateObject GetCurrentProcess NtQueryObject NtClose RtllnitUnicodeString NtConnectPort VirtualAllocEx WriteProcessMemory CopyMemory ReadProcessMemory VirtualFreeEx VirtualQueryEx GetMappedFileName, OpenProcess CloseHandle GetSystemlnfo | Advanced/Asynchronous Local Procedure Call |
| LOCKPOS | CreateFileMappingW MapViewOfFile RtlAllocateHeap NtCreateSection NtMapViewOfSection NtCreateThreadEx | 与僵尸 *** Flokibot使用类似的注入技术 |
| Hollowing注入 | CreateProcess NtQueryProcesslnformation ReadProcessMemory GetModuleHandle GetProcAddress ZwUnmapViewOfSection/NtUnmapViewOfSection VirtualAllocEx WriteProcessMemory VirtualProtectEx SetThreadContext ResumeThread | 进程替换和RunPE,见封装工具:RISCyPacker |
| DOPPELGANGING | CreateFileTransacted WriteFlle NtCreateSection RollbackTransaction NtCreateProcessEx RtICreateProcessParametersEx VirtualAllocEx WriteProcessMemory NtCreateThreadEx NtResumeThread | 类似Hollowing,参考:https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdf |
| REFLECTIVE反射注入 | CreateFileA HeapAlloc OpenProcessToken OpenProcess VirtualAlloc GetProcAddress LoadRemoteLibraryR/LoadLibrary HeapFree CloseHandle | 也可通过封装ReflectiverLoader实现 |
| 线程执行劫持 | RtlAdjustPrivilege OpenProcess CreateToolhelp32Snapshot Thread32First Thread32Next CloseHandle VirtualAllocEx OpenThread VirtualFree/VirtualFreeEx SuspendThread GetThreadContext VirtualAlloc WriteProcessMemory SetThreadContext ResumeThread |
其实现 *** 可在github上搜索源码,还有一些常见的 *** (如注册表Appinit_DLL, AppCertDlls, IFEO)和不常见的hook *** (如EWMI),后期再整理...
相关文章
哪里可以查我老婆酒店记录
日本也开始老调重弹,打起“国家安全”幌子。路透社30日援引6名日本政府和执政党知情人士的话称,作为加强国家安全的广泛努力的一部分,日本可能实际上禁止中国向其政府提供无人机,以保护敏感信息。 ...
EFFEKT将废弃的火车引擎仓库改建成街头运动中心
丹麦建筑工作室 EFFEKT在一项竞赛中大获全胜,该竞赛旨在在丹麦西南部埃斯比约的一座坍塌的火车引擎机顶棚内及附近设计街头体育设施。EFFEKT将改造围绕圆形转盘布置的旧机车维修棚,并以滑板运动为中心...
8月13日蚂蚁庄园今日答案汇总 蚂蚁庄园8.13答题答案正确答案公布
蚂蚁庄园小课堂8月13日今日支付宝答案!相信很多玩家都不知道这个答案,答对就可以领取到180g小鸡饲料。以上是支付宝蚂蚁庄园小课堂2020年8月13日的题目,那么你们知道答案是什么吗? 蚂蚁庄园8月...
苹果手机怎么样查对方的位置(手机号码定位追踪
投资一定要找正规的公司对接人,投资有风险,一定要了解清楚之后,合理的投资,我是影视顾问小马,专注影视投资,项目认购,鉴别渠道v:13197328301 电影简介: 片名:《战疫英雄》 类型:励志 制片...
黑客cmd命令大全下载,安卓手机黑客工具软件
一、cmd命令大全下载黑客接单流程 1、黑客接单这种浪费伤害了每个人。cmd命令大全下载安卓手机工具软件阅读其代码。女生当好吗cmd命令大全下载XXX接单中国最年轻的黑客毫无疑问,黑客们正在为计算机保...
唐山人才网首页唐山市人才交流中心网!
滦南县2019年部分事业单位公开招聘工作人员公告 根据《事业单位人事管理条例》《河北省事业单位公开招聘工作人员暂行办法》,为满足我县部分事业单位工作需要,经研究决定,面向社会公开招聘事业编制工作人员...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!