笔记分享:各种注入 *** Windows API组合
整理笔记时发现之前留下的资料,抛砖引玉,分享给大家。
| 常见注入 *** | OpenProcess VirtualAllocEx WriteProcessMemory CreateRemoteThread | |
| DLL注入 | LoadLibrary/LoadLibraryEx GetProcAddress SetWindowsHookEx | 钩子注入 |
| APC注入 | CreateToolhelp32Snapshot Process32First Thread32First Thread32Next Process32Next OpenProcess VirtualAllocEx WriteProcessMemory QueueUserAPC/NtQueueApcThread VirtualFreeEx CloseHandle | 异步过程调用中断 |
| Atom Bombing注入 | CreateToolhelp32Snapshot Thread32First Thread32Next, OpenThread CreateEvent DuplicateHandle NtQueueApcThread QueueUserAPC GetModuleHandle GetProcAddress SetEvent GetCurrentProcess SleepEx WaitForMultipleObjectsEx MsgWaitForMultipleObjectsEx CloseHandle | 据说可以绕过所有Windows AV查杀机制? |
| ALPC注入 | NtQuerySystemlnformation NtDuplicateObject/ZwDuplicateObject GetCurrentProcess NtQueryObject NtClose RtllnitUnicodeString NtConnectPort VirtualAllocEx WriteProcessMemory CopyMemory ReadProcessMemory VirtualFreeEx VirtualQueryEx GetMappedFileName, OpenProcess CloseHandle GetSystemlnfo | Advanced/Asynchronous Local Procedure Call |
| LOCKPOS | CreateFileMappingW MapViewOfFile RtlAllocateHeap NtCreateSection NtMapViewOfSection NtCreateThreadEx | 与僵尸 *** Flokibot使用类似的注入技术 |
| Hollowing注入 | CreateProcess NtQueryProcesslnformation ReadProcessMemory GetModuleHandle GetProcAddress ZwUnmapViewOfSection/NtUnmapViewOfSection VirtualAllocEx WriteProcessMemory VirtualProtectEx SetThreadContext ResumeThread | 进程替换和RunPE,见封装工具:RISCyPacker |
| DOPPELGANGING | CreateFileTransacted WriteFlle NtCreateSection RollbackTransaction NtCreateProcessEx RtICreateProcessParametersEx VirtualAllocEx WriteProcessMemory NtCreateThreadEx NtResumeThread | 类似Hollowing,参考:https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdf |
| REFLECTIVE反射注入 | CreateFileA HeapAlloc OpenProcessToken OpenProcess VirtualAlloc GetProcAddress LoadRemoteLibraryR/LoadLibrary HeapFree CloseHandle | 也可通过封装ReflectiverLoader实现 |
| 线程执行劫持 | RtlAdjustPrivilege OpenProcess CreateToolhelp32Snapshot Thread32First Thread32Next CloseHandle VirtualAllocEx OpenThread VirtualFree/VirtualFreeEx SuspendThread GetThreadContext VirtualAlloc WriteProcessMemory SetThreadContext ResumeThread |
其实现 *** 可在github上搜索源码,还有一些常见的 *** (如注册表Appinit_DLL, AppCertDlls, IFEO)和不常见的hook *** (如EWMI),后期再整理...
相关文章
为什么要加盟易百(易百连锁酒店加盟怎么样)
逸柏酒店集团山东省分公司于2015年2月26日正式成立了!全国各大媒体火热报道,为山东省投资者将带来新的财富机遇。易佰连锁旅馆山东省分公司董事长谢磊表示:计划在山东省将在山东各地区采用加盟代理方式增设...
破解微信黑客联系方式-黑客技术好学不(黑客技术好学吗)
破解微信黑客联系方式相关问题 入门黑客用什么手机软件相关问题 我的世界黑客是什么主角 电脑高手24在线咨询电话(如何成为电脑高手)...
黑客网图,常州网络盗窃黑客,体验黑客网站视频下载
SecretKey securekey = keyFactory.generateSecret(desKey);0.594 这时候转发一个80端口,合作hsf写入hook建立一个暂时的垂钓链接。 GE...
专家教你怎样偷偷接收老公微信信息(同步老公微信聊天记录不被发现
每日好文 电脑硬盘,微信帐号只有手机上无法登录,而登录啊想接到微信关联信息内容,它是不太可能的,由于手机微信不容易在同一时间戈登接纳两个手机,但你能用老公的手机上入睡,看权威专家教你如何...
互联网开放潮:扩张和避嫌的一场轮回
大家一直习惯性依照审美和造型艺术设置标准,使大家的商品更像景色并非玩具,却不知道客户始终把好用和感受摆在首位。因此 当文过饰非的 商业服务室内设计师们在摩天大厦里俯瞰着大城市的轮廊思索着怎样引领...
好高骛远也未尝不可
图| 花瓣网 编辑| FAN 01 老是有人告诉我,你不要好高骛远眼高手低。 我是这样解释,中国人想得诺贝尔确实有些好高骛远,我逮住谁都这么说,他们说你这样讲不行的,中国文豪那么多,那诺奖的...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!