RedirectThread:探索无内存分配的远程代码执行新方法

原创 于 2025-05-21 09:00:10 发布 · 228 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

RedirectThread:探索无内存分配的远程代码执行新方法

RedirectThread Playing around with Thread Context Hijacking. Building more evasive primitives to use as alternative for existing process injection techniques RedirectThread 项目地址: https://gitcode.com/gh_mirrors/re/RedirectThread

项目介绍

RedirectThread 是一个开源工具,专注于探索和实现基于 Windows 操作系统的远程代码执行和线程操纵技术,其核心在于利用 CONTEXT 结构体。该项目提供了一种全新的思路,即完全跳过内存分配和写入的过程,直接实现代码的远程执行。

项目技术分析

RedirectThread 通过对现有进程注入技术的深入研究,提出了一个与传统模式截然不同的方法:不分配内存、不写入数据,直接执行。传统进程注入技术通常遵循"分配内存 → 写入数据 → 执行代码"的模式,而RedirectThread 则探索了以下几种独特的执行方式:

  • 仅使用 LoadLibraryA 实现DLL注入。
  • 利用 SetThreadContext 调用任意WinAPI函数,无需挂起线程。
  • 仅通过 NtCreateThread 实现远程内存分配、写入并执行shellcode。
  • 将技术扩展到 APC 函数,如 QueueUserAPC

这种技术并非传统的线程劫持,因为它并不需要在执行中途挂起和恢复线程来覆盖其内容。

项目及技术应用场景

RedirectThread 的研究和实践对于理解操作系统底层行为、进程隔离以及安全防御策略具有重要意义。以下是该项目的一些潜在应用场景:

  1. 安全研究:安全专家可以利用RedirectThread 来分析和测试系统的安全特性,从而加强安全防护措施。
  2. 软件开发:软件开发者可以通过该项目了解和优化进程间通信的效率。
  3. 安全分析:通过模拟类似恶意行为的注入技术,有助于安全团队更好地防御和检测攻击。

项目特点

  1. 创新性:RedirectThread 提供了一种新的视角来看待远程代码执行,为安全研究带来了新的启示。
  2. 灵活性:工具支持多种注入方法,包括 CreateRemoteThreadNtCreateThreadQueueUserAPC 等,适用于不同的测试场景。
  3. 易用性:项目提供了详细的命令行参数,用户可以轻松地根据需要配置和使用。
  4. 可扩展性:项目的结构允许其他开发者在此基础上继续开发新的注入技术。

以下是具体的使用示例:

使用 RedirectThread 进行 DLL 注入:

C:\RedirectThread.exe --pid 1234 --inject-dll mydll.dll

使用 RedirectThread 进行 Shellcode 注入:

C:\RedirectThread.exe --pid 1234 --inject-shellcode payload.bin --verbose

使用 NtCreateThread 方法进行 Shellcode 注入:

C:\RedirectThread.exe --pid 1234 --inject-shellcode payload.bin --method NtCreateThread

使用 QueueUserAPC 方法进行 Shellcode 注入:

C:\RedirectThread.exe --pid 1234 --inject-shellcode-bytes 9090c3 --method QueueUserAPC --tid 5678

使用两步线程劫持方法进行注入:

C:\RedirectThread.exe --pid 1234 --inject-shellcode-bytes $bytes --context-method two-step --method NtQueueUserApcThreadEx2 --tid 5678


## 总结

RedirectThread 是一个具有创新性的开源项目,它为Windows平台上的远程代码执行和线程操纵提供了一种全新的视角。其独特的方法和灵活的配置选项,使得它成为安全研究领域和技术爱好者值得探索和使用的工具。无论你是安全研究员还是软件开发者,RedirectThread 都能为你提供宝贵的实践经验和知识。

RedirectThread Playing around with Thread Context Hijacking. Building more evasive primitives to use as alternative for existing process injection techniques RedirectThread 项目地址: https://gitcode.com/gh_mirrors/re/RedirectThread

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

C++ 用户模式调用 NtCreateThread
Rprop
02-01 7813
/******************************************************************** Created: 2012/02/01 18:17 Filename: NativeAPI.h Author: rrrfff Url: http://blog.youkuaiyun.com/rrrfff ***********************
PySpark启动过程解密
Hadoop_SC的博客
03-01 1401
原文作者:李海强,来自平安银行零售大数据团队 ​ 前言 作为数据工程师,你可能会碰到过很多种启动PySpark的方法,可能搞不懂这些方法有什么共同点、有什么区别,不同的方法对程序开发、部署有什么影响,今天我们一起分析一下这些启动PySpark的方法。 以下代码分析都是基于spark-2.4.4版本展开的,为了避免歧义,务必对照这个版本的Spark深入理解。 启动PySpark的方法 启动PySp...
线程的创建过程——NtCreateThread逆向
weixin_45678798的博客
07-31 714
线程的创建是从NtCreateThread开始真正执行的。
Inject集合----远程线程注入(NtCreateThreadEx)
qq_42021840的博客
05-15 2648
介绍: 前面写过一片远程线程注入的文章,用到的是CreateRemoteThread函数来远程注入线程的,这次我们用NtCreateThreadEx来创建远程线程,其实并没有技术的升级,而是进行了创建远程线程函数的升级,下面是CreateRemoteThread在Reactos中的源码 /* Create the Kernel Thread Object */ Status = NtCreateThread(&hThread, ...
远程线程注入之突破Session0隔离会话
xf555er的博客
06-12 1478
当我们使用远程线程注入将dll注入至系统服务进程中往往会失败,这是因为大多数系统服务都是在Session0中运行的 "Session 0"是Windows操作系统中的一个特殊的会话,专门用于运行系统服务和其他在用户登录之前就需要运行的程序。从Windows Vista和Windows Server 2008开始,为了提高安全性,Windows将用户和系统服务分隔在不同的会话中。具体来说,所有的服务和系统任务都在Session 0中运行,而所有用户交互任务都在其他会话中运行
漫谈兼容内核之十二: Windows的APC机制(毛德操)
vbsourcecode的专栏
02-07 2495
前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了Windows的APC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,Windows的APC机制相当于Linux的Signal机制,
如何在Spark Scala/Java应用中调用Python脚本
HWCloudDeveloper的博客
03-21 2241
本文将介绍如何在 Spark scala 程序中调用 Python 脚本,Spark java程序调用的过程也大体相同 1.PythonRunner 对于运行与 JVM 上的程序(即Scala、Java程序),Spark 提供了 PythonRunner 类。只需要调用PythonRunner 的main方法,就可以在Scala或Java程序中调用Python脚本。在实现上,PythonRunner 基于py4j ,通过构造GatewayServer实例让python程序通过本地网络socket来与JVM通
NtCreateThreadEx在Win7 x64位调用失败解决办法
qq_34471028的博客
03-25 1043
问题 在研究进程注入的时候,发现在Win10 64位上调用NtCreateThreadEx可以执行成功,但是换到Win7 64位上会失败,并且返回GetLastError = 8,程序是以管理员运行且内部已实现提升进程访问权限。 解决方案 函数NtCreateThreadEx在32位和64位的定义有所不同,区分不同的系统位数选择函数声明节课解决在Win7 64位上调用失败的问题。 64位N...
漫谈兼容内核之四:Kernel-win32的进程管理
周寅的专栏
03-13 1334
     由于进程管理与对象管理不可分割,我在谈论Kernel-win32的对象管理时也谈到了一些有关进程管理的内容,例如对task_struct数据结构的扩充,以及对Linux内核有关代码所打的补丁。但是这还不够,还需要进一步讨论。    对于任何现代操作系统而言,进程(线程)管理都是一个十分重要的环节。Windows与Linux在这方面恰恰有着相当大的差异,有的是概念上的,有的是实现细节上的:
进程注入检测方法
trents的专栏
09-18 5440
进程注入通常都是涉及 CreateRemoteThread调用。在内核会调用到NtCreateThread(2008,vista,win7是NtCreateThreadEx),所以检测方法是Hook NtCreateThread,在钩子函数中判别是否是CreateRemoteTh
内核注入DLL驱动
11-14
采用HOOK SSDT方式,HOOK NtCreateProcess,NtCreateThread等函数,在进程开始时实现注入,可以绕过QQ,360等检查。
内核注入DLL
08-21
采用内核驱动侏注入方式,在程序启动的时候注入DLL。具体实现采用SSDTHOOk NtCreateProcess NtCreateThread等函数实现,待改进点:SSDT中未导出函数的地址获得方式(或索引获得方式)
驱动注入dll(方法一)
08-15 3421
其实这个方法很简单,这里记录一下。 hook ntcreatethread就可以,其中有一个context结构,其中又有eax..... 返回用户态后,就从eax开始执行。报告完毕。 代码:nbboy.ys168.com下的代码例子calldll.rar
驱动里执行应用层代码之KeUserModeCallBack,支持64位win7(包括WOW64)
热门推荐
fanxiushu的专栏
07-26 1万+
by Fanxiushu            2014-07-26 在驱动层(ring0)里执行应用层(ring3)代码,这是个老生常谈的技术,而且方法也挺多。 这种技术的本质:其实就是想方设法在驱动层里把应用层代码弄到应用层去执行。 比如在APC异步调用中,KeInsertQueueApc,KeInitializeApc等函数中可设置一个在ring3层执行一个回调函数,这样就可以
windows内核情景分析---进程线程1
mmmsss987的博客
06-23 690
本篇主要讲述进程的启动过程、线程的调度与切换、进程挂靠 一、进程的启动过程: BOOLCreateProcess ( LPCTSTRlpApplicationName,// LPTSTRlpCommandLine,//commandlinestring LPSECURITY_ATTRI...
线程创建流程
06-30 2096
创建线程Call NtCreateThread;NtCreateThread(;      OUT PHANDLE ThreadHandle,     +8h;      IN ACCESS_MASK DesiredAccess, +Ch;      IN POBJECT_ATTRIBUTES ObjectAttributes OPTIONAL, +10h;      IN
线程的创建过程——PspCreateThread逆向分析
weixin_45678798的博客
08-01 1463
通过之前的分析NtCreateThread函数,可以看到线程的创建实际是在PspCreateThread中。在IDA交叉引用中可以看到仅仅被NtCreateThread和PsCreateSystemThread这两个函数调用,分别用于创建用户线程和系统线程对象。......
LdrLoadDll+NtCreateThreadEx结合实现DLL的注入
技术引领巅峰=〉牛人无所不在
11-30 3103
项目要求实现对文件操作的监控,首先想到的就是通过HOOK的方式,先是通过setWindowsHookEx采用全局注入方式注入文件操作DLL,这种方式在WIN10操作系统有效,但是在WIN7上无效,后来又使用了CreateRemoteThread采用远程注入方式,结果还是只在WIN10上有限,又查了很多资料,最后看到网上又说可以使用LdrLoadDll+NtCreateThreadEx于是又采用这种...
绕过安全软件挂钩SSDT的检测
04-16 1420
很多安全软件都靠挂钩SSDT中的函数来检测恶意代码,就拿卡巴举例吧,他挂了NtCreateKey来检测注册表的创建,NtCreateThread和NtResumeThread/NtWriteVirtualMemory来检测远程注入, 等等,这些钩子让我们后期的动作很可能暴露,怎么样才能为所欲为呢?我这里提一种方案:1. 首先在用户态读取NTOSKRNL.EXE,找出原始的SSDT的位置,提交到内核
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金畏战Goddard

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值