笔记分享:各种注入 *** Windows API组合
整理笔记时发现之前留下的资料,抛砖引玉,分享给大家。
| 常见注入 *** | OpenProcess VirtualAllocEx WriteProcessMemory CreateRemoteThread | |
| DLL注入 | LoadLibrary/LoadLibraryEx GetProcAddress SetWindowsHookEx | 钩子注入 |
| APC注入 | CreateToolhelp32Snapshot Process32First Thread32First Thread32Next Process32Next OpenProcess VirtualAllocEx WriteProcessMemory QueueUserAPC/NtQueueApcThread VirtualFreeEx CloseHandle | 异步过程调用中断 |
| Atom Bombing注入 | CreateToolhelp32Snapshot Thread32First Thread32Next, OpenThread CreateEvent DuplicateHandle NtQueueApcThread QueueUserAPC GetModuleHandle GetProcAddress SetEvent GetCurrentProcess SleepEx WaitForMultipleObjectsEx MsgWaitForMultipleObjectsEx CloseHandle | 据说可以绕过所有Windows AV查杀机制? |
| ALPC注入 | NtQuerySystemlnformation NtDuplicateObject/ZwDuplicateObject GetCurrentProcess NtQueryObject NtClose RtllnitUnicodeString NtConnectPort VirtualAllocEx WriteProcessMemory CopyMemory ReadProcessMemory VirtualFreeEx VirtualQueryEx GetMappedFileName, OpenProcess CloseHandle GetSystemlnfo | Advanced/Asynchronous Local Procedure Call |
| LOCKPOS | CreateFileMappingW MapViewOfFile RtlAllocateHeap NtCreateSection NtMapViewOfSection NtCreateThreadEx | 与僵尸 *** Flokibot使用类似的注入技术 |
| Hollowing注入 | CreateProcess NtQueryProcesslnformation ReadProcessMemory GetModuleHandle GetProcAddress ZwUnmapViewOfSection/NtUnmapViewOfSection VirtualAllocEx WriteProcessMemory VirtualProtectEx SetThreadContext ResumeThread | 进程替换和RunPE,见封装工具:RISCyPacker |
| DOPPELGANGING | CreateFileTransacted WriteFlle NtCreateSection RollbackTransaction NtCreateProcessEx RtICreateProcessParametersEx VirtualAllocEx WriteProcessMemory NtCreateThreadEx NtResumeThread | 类似Hollowing,参考:https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdf |
| REFLECTIVE反射注入 | CreateFileA HeapAlloc OpenProcessToken OpenProcess VirtualAlloc GetProcAddress LoadRemoteLibraryR/LoadLibrary HeapFree CloseHandle | 也可通过封装ReflectiverLoader实现 |
| 线程执行劫持 | RtlAdjustPrivilege OpenProcess CreateToolhelp32Snapshot Thread32First Thread32Next CloseHandle VirtualAllocEx OpenThread VirtualFree/VirtualFreeEx SuspendThread GetThreadContext VirtualAlloc WriteProcessMemory SetThreadContext ResumeThread |
其实现 *** 可在github上搜索源码,还有一些常见的 *** (如注册表Appinit_DLL, AppCertDlls, IFEO)和不常见的hook *** (如EWMI),后期再整理...
相关文章
保育员考试(保育员证报名入口官网)
保育员考试(保育员证报名入口官网) 题库来源:安全生产模拟考试一点通公众号小程序 2020保育员(初级)考试题及保育员(初级)考试试题,包含保育员(初级)考试题答案解析及保育员(初级)考试试题练习...
在网上监控他人微信是真的吗的?在网上说能够监控微信是真是假?
在网上说能够监控微信是真是假,在网上监控他人微信是真的吗的 如果是电脑的QQ记录,能够在电脑上安装电脑监控权威专家。 能够记录QQ闲聊记录,对QQ闲聊对话框截屏。手机软件有把全部的监控信息(电脑键...
路由器怎么设置?无线路由器wifi怎么设置?
路由器怎么设置(无线路由器wifi怎么设置?)现在大多数的无线路由器都支持设置向导功能,那么对于网络新手来说,使用这个功能,可以较为快速的组建无线网络。那么无线路由器wifi怎么设置?下面小编就为大家...
专业接单黑客联系方式全网最专业的黑客快速接
7月28日晚间,知名GPS导航设备及运动穿戴设备制造商佳明(Garmin)官方发布了公告,确认公司服务器在7月23日遭到了黑客网络攻击。目前受影响的服务已经陆续恢复。 自上周三起,外国有用户...
手机观察到老公在外的开房记录
买了新手机之后,信赖大多人会做的第一件事就是给手机下载微信软件!微信在一样平常的事情生涯中饰演的角色愈发主要,微信转账用于财政往来,微信谈天可以联络感情,微信群组可以下达事情任务……那云云主要的数据有...
黑客需要练习打字吗(当黑客需要打字快吗)
本文目录一览: 1、黑客是不是编程很快?打字很快?如何可以让我的手指打字更加标准更加快速准确? 2、黑客一般用什么打字法 3、一个牛叉的黑客,打字神马的速度一定要很快么? 黑客是不是编程很快...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!