进程替换的一点想法

最新推荐文章于 2025-06-24 23:41:58 发布
原创 最新推荐文章于 2025-06-24 23:41:58 发布 · 592 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#exe #dll #c

RING3级:

现在网上很多的进程替换都是说A 建立C进程(僵尸进程),然后把C所有的Section都Free掉,把B文件手动LOAD重定位,并在C进程空间申请合适的位置,完成后恢复C的运行,运行的结果是用了C的壳做了B的事。(这样卡巴是过不了的,对WriteProcessMemory监控,使用Mapping会有CopyOnWrite)

但我在想,如果可以A用B替换,那不是更好吗?由于做了类似实验。读入目标PE的文件头,得到建议的对齐地址和大小,在目标进程不会使用的空间位置申请内存,将Load代码移上此空间(或者写个DLL),跳到此代码中。代码完成Unmap所有申请的内存,重要申请并读入目标EXE,完成对齐,完成导入导出表,跳到入口。

不过莫明其巧地出错。。。郁闷中

nooning
关注
信号底层实现机制&进程替换
qq_42111463的博客
04-21 332
1.异步处理 两个以上进程或线程执行互不影响,同时向下执行,当某个时刻,一个进程或线程会通过系统机制通知其他进程或线程 2.同步处理 一个进程或线程的执行,需要依赖其他的进程或者线程的执行 3.信号的发送 kill(1234, SIGINT);//SIFINT == 2 底层调用sys_kill(1234, 2); 信号触发中断机制,触发中断处理程序,调用信号处理函数。 4.信号处理函数被注...
springboot优雅关机的一点想法
Zzhou1990的博客
10-16 3788
boot版本1.5.8 一、原始方法:boot自带的shutdown 引入 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-actuator</...
十种进程注入技术介绍
weixin_40270125的博客
02-28 2321
前言 进程注入是一种广泛使用的躲避检测的技术,通常用于恶意软件或者无文件技术。其需要在另一个进程的地址空间内运行特制代码,进程注入改善了不可见性,同时一些技术也实现了持久性。尽管目前有许多进程注入技术,但在这篇文章中,我将会介绍十种在野发现的,在另一个程序的地址空间执行恶意代码的进程注入技术,并提供这些技术应用的截图,以便于逆向工程和恶意软件分析,然后协助检测并防御这些进程注入技术。 ...
Linux之进程信号
flyingcloud6的博客
11-03 1419
对信号的剖析
英语同义替换
m0_57656758的博客
12-22 1190
不是现在的)==for a long time people have had the experience(很长一段时间以来,人们()有过这种经历)不是现在的)==for a long time people have had the experience(很长一段时间以来,人们有过这种经历)lack(缺乏,不足)==few and fa learn better(很少有人能学得更好)==more engaged and earn better grades(更投入,取得更好的成绩)
进程间通信系列 之 信号(理论)
渡江客涂鸦板
11-13 2560
信号本质,信号是在软件层次上对中断机制的一种模拟,在原理上,一个进程收到一个信号与处理器收到一个中断请求可以说是一样的。信号是异步的,一个进程不必通过任何操作来等待信号的到达,事实上,进程也不知道信号到底什么时候到达。 信号是进程间通信机制中唯一的异步通信机制,可以看作是异步通知,通知接收信号的进程有哪些事情发生了。
进程和线程的区别
Howie的专栏
05-13 1008
简而言之,一个程序至少有一个进程,一个进程至少有一个线程.  线程的划分尺度小于进程,使得多线程程序的并发性高。 另外,进程在执行过程中拥有独立的内存单元,而多个线程共享内存,从而极大地提高了程序的运行效率。 线程在执行过程中与进程还是有区别的。每个独立的线程有一个程序运行的入口、顺序执行序列和程序的出口。但是线程不能够独立执行,必须依存在应用程序中,由应用程序提供多个线程执行控制。 从逻
10.多进程服务器端
最新发布
suy123的博客
06-24 834
大家已对套接字编程有了一定的理解,但要想实现真正的服务器端,只凭这些内容还不够哦。因此,现在开始学习构建实际网络服务所需内容吧!
linux进程间通信
zygzzp的专栏
10-20 2659
http://blog.youkuaiyun.com/eagelangel/article/details/6283745 0. 序1. 管道1.1. 管道概述及相关API应用1.2. 有名管道概述及相关API应用1.3. 小结1.4. 参考资料2. 信号(上)2.1. 信号及信号来源2.2. 信号的种类2.3. 进程对信号的响应2.4. 信号的发送2.5. 信号的安装(设置信号关联动作)2.6. 信号集及
进程、线程和缓存一致性原理
weixin_46058921的博客
10-18 956
当 A 号 CPU 核心要修改 Cache 中 i 变量的值,发现数据对应的 Cache Line 的状态是共享状态,则要向所有的其他 CPU 核心广播一个请求,要求先把其他核心的 Cache 中对应的 Cache Line 标记为「无效」状态,然后 A 号 CPU 核心才更新 Cache 里面的数据,同时标记 Cache Line 为「已修改」状态,此时 Cache 中的数据就与内存不一致了。而「已失效」状态,表示的是这个 Cache Block 里的数据已经失效了,不可以读取该状态的数据。
操作系统:进程控制(下)
weixin_73234157的博客
03-18 1098
这里我们发现了一个很有意思的东西,我们之前讲过fork函数给父进程返回子进程的pid,而这里的进程等待判断关系 rid 和 id也是相等的,这也就说明了,fork函数给父进程返回子进程的pid的本质就是为了方便对子进程进行进程控制,在这里表现为等待子进程,并回收!如图是:一个进程在创建过程中的示意图,我们知道对于一个进程会创建一份的代码和数据,当我们使用execl函数时,本质上就是加载另一个程序,用新程序的代码和数据来替换这一份的代码和数据,这时进程的属性不发生改变,发生改变的只有加载到物理内存的部分!
Python-----线程、进程、协程
weixin_46200045的博客
05-05 369
线程 多任务:操作系统可以同时运行多个任务。 python 默认是单任务 线程: 被称为轻量级进程,是程序执行流的最小单元。一个标准的线程由线程ID,当前指令指针(PC),寄存器集合和堆栈组成。另外,线程是进程中的一个实体,是CPU调度和分派的基本单位,线程自己不拥有系统资源,只拥有一点儿在运行中必不可少的资源,但它可与同属一个进程的其他线程共享进程所拥有的全部资源 主线程:当⼀个程序启动时,就有⼀个进程被操作系统(OS)创建,与此同时⼀个线程也⽴刻运 ⾏,该线程通常叫做程序的主线程 主线程的重要性: 1)
WebView交互架构项目实战(三):多进程WebView使用实践
bugmiao的博客
01-20 2504
*本文介绍自己在使用WebView的过程中遇到的一些问题的解决方法和对WebView的一些优化实践* *浏览器缓存知识介绍:* 浏览器缓存之 Expires , max-age, Etag , Last-Modified (其中Expires,max-age是客户端在这个时间之前不去向服务器端发送请求验证资源是否有更新, Etag, Last-Modified是服务器决定是否需要返回资源,未更新的资源不需要返回) Expires   http/1.0中定义的header,是最基础的浏览器缓存处理,表示资
深入Linux内核架构-进程管理和调度(四)
xiezhi123456的博客
01-20 333
一、进程管理相关的系统调用 讨论 fork 和 exec 函数族(用来用指定的程序替换当前进程的所有内容)系统调用的实现。通常这些调用不是由应用程序直接发出 的,而是通过一个中间层调用,即负责与内核通信的C标准库。 从用户状态切换到核心态的方法,依不同的体系结构而各有不同。用于在这两种状态之间切换的机制,并解释了用户空间和内核空间之间如何交换参数。就目前而言,将内核视为由C标准库使用的“程序库...
K8s 很难么?带你从头到尾捋一遍,不信你学不会
热门推荐
民工哥的博客
02-23 1万+
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 4298
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7644
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 2154
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 3200
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
Rush:多功能跨平台并行作业执行命令行工具
rush通过借鉴其他工具的想法并实现一些独特功能来区分自身,如支持自定义定义的变量,恢复多行命令,和更高级的嵌入式替换字符串。这些特性在特定领域,例如生物信息学中,非常有用,因为该领域的计算任务往往需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值