笔记分享:各种注入 *** Windows API组合
整理笔记时发现之前留下的资料,抛砖引玉,分享给大家。
| 常见注入 *** | OpenProcess VirtualAllocEx WriteProcessMemory CreateRemoteThread | |
| DLL注入 | LoadLibrary/LoadLibraryEx GetProcAddress SetWindowsHookEx | 钩子注入 |
| APC注入 | CreateToolhelp32Snapshot Process32First Thread32First Thread32Next Process32Next OpenProcess VirtualAllocEx WriteProcessMemory QueueUserAPC/NtQueueApcThread VirtualFreeEx CloseHandle | 异步过程调用中断 |
| Atom Bombing注入 | CreateToolhelp32Snapshot Thread32First Thread32Next, OpenThread CreateEvent DuplicateHandle NtQueueApcThread QueueUserAPC GetModuleHandle GetProcAddress SetEvent GetCurrentProcess SleepEx WaitForMultipleObjectsEx MsgWaitForMultipleObjectsEx CloseHandle | 据说可以绕过所有Windows AV查杀机制? |
| ALPC注入 | NtQuerySystemlnformation NtDuplicateObject/ZwDuplicateObject GetCurrentProcess NtQueryObject NtClose RtllnitUnicodeString NtConnectPort VirtualAllocEx WriteProcessMemory CopyMemory ReadProcessMemory VirtualFreeEx VirtualQueryEx GetMappedFileName, OpenProcess CloseHandle GetSystemlnfo | Advanced/Asynchronous Local Procedure Call |
| LOCKPOS | CreateFileMappingW MapViewOfFile RtlAllocateHeap NtCreateSection NtMapViewOfSection NtCreateThreadEx | 与僵尸 *** Flokibot使用类似的注入技术 |
| Hollowing注入 | CreateProcess NtQueryProcesslnformation ReadProcessMemory GetModuleHandle GetProcAddress ZwUnmapViewOfSection/NtUnmapViewOfSection VirtualAllocEx WriteProcessMemory VirtualProtectEx SetThreadContext ResumeThread | 进程替换和RunPE,见封装工具:RISCyPacker |
| DOPPELGANGING | CreateFileTransacted WriteFlle NtCreateSection RollbackTransaction NtCreateProcessEx RtICreateProcessParametersEx VirtualAllocEx WriteProcessMemory NtCreateThreadEx NtResumeThread | 类似Hollowing,参考:https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdf |
| REFLECTIVE反射注入 | CreateFileA HeapAlloc OpenProcessToken OpenProcess VirtualAlloc GetProcAddress LoadRemoteLibraryR/LoadLibrary HeapFree CloseHandle | 也可通过封装ReflectiverLoader实现 |
| 线程执行劫持 | RtlAdjustPrivilege OpenProcess CreateToolhelp32Snapshot Thread32First Thread32Next CloseHandle VirtualAllocEx OpenThread VirtualFree/VirtualFreeEx SuspendThread GetThreadContext VirtualAlloc WriteProcessMemory SetThreadContext ResumeThread |
其实现 *** 可在github上搜索源码,还有一些常见的 *** (如注册表Appinit_DLL, AppCertDlls, IFEO)和不常见的hook *** (如EWMI),后期再整理...
相关文章
黑客教你查询某人信息?(私人黑客联系方式)
让我们先来检查一下工作所需要的劳动器材: (1)Soft-ICE For Windows95/98 v4.05 动态跟踪的极品软件,尽管还有TRW,我还是爱它,习惯称它叫兄弟 (2)URSoft W3...
contigo儿童保温杯怎么样 contigo儿童保温杯使用评测
contigo儿童保温杯是来源于英国的知名品牌,持续了一贯是的鸭嘴阀平扁式吸水口,十分便捷小孩饮水,但是相对性的价钱也稍高一点,有多种多样样式挑选,那麼contigo儿童保温杯如何?下边我产生详细介绍...
光遇8月19号大蜡烛在什么地方 光遇大蜡烛位置分享
光遇8月19号大蜡烛在哪里?许多玩家都很想知道,接下来为大家带来光遇8月19号大蜡烛位置介绍,希望能够帮助到大家。 光遇8月19号大蜡烛位置 大蜡烛位置一: 第一个大蜡烛堆在墓土入场背后转换...
盗取朋友的微信能知道它在哪里吗?有没有定位微信的软件app
盗取朋友的微信能知道它在哪里吗?有没有定位微信的软件app 专业盗取微信密码,开房查询,通话记录查询,查询微信聊天记录,非常靠谱!微信作为拥有最多用户的社交软件,每一次更新都致力于为用户提供更加完善...
网络引流,你还真是想的太简单了,别再骗小白
很多人其实现在看到了网络创业的机会,于是纷纷的加入到互联网的创业大军。互联网创业模式基本就这几种: 1.平台电商创业,如淘宝,天猫,拼多多等。 2.社交电商,产品电商和虚拟产品电商 为什么我...
黑客一般在哪找(黑客一般在哪里找)
一、黑客一般在哪找(黑客一般在哪里找)方法总结 1、请问是在哪里找黑客的如果你是想看你朋友所有的发出评论和收到评论,那是没法直接看的。但是如果你有兴趣的话,去看她关注里哪几个你觉得可疑的互动频繁密切...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!