.NET 通过傀儡进程执行Shellcode

傀儡进程是指被攻击者通过技术手段，修改其内存数据，并植入恶意的Shellcode，进而控制其执行流程，使其转向执行恶意代码的进程。

0x01 什么是傀儡进程

简单来说，傀儡进程就是攻击者通过一系列技术操作，将原本正常的进程转化为执行恶意任务的“傀儡”。在实际操作中，通常会借助如ZwQueryInformationProcess、ReadProcessMemory和ResumeThread等Windows API函数，来实现这个技术。

0x02 相关函数介绍

1. ZwQueryInformationProcess函数用于获取指定进程的信息，如进程ID、父进程信息等。在.NET平台下调用该函数的代码如下所示。

[DllImport("ntdll.dll", CallingConvention = CallingConvention.StdCall)]

private static extern int ZwQueryInformationProcess(IntPtr hProcess, int procInformationClass, ref PROCESS_BASIC_INFORMATION procInformation, uint ProcInfoLen, ref uint retlen);

2.ReadProcessMemory函数用于从指定进程的内存中读取数据，在.NET平台下调用该函数