傀儡进程原理及调试

最新推荐文章于 2024-06-21 07:00:00 发布
转载 最新推荐文章于 2024-06-21 07:00:00 发布 · 1.6k 阅读 · 1

本文详细介绍了傀儡进程的创建过程,包括挂起进程、内存分配与恶意代码注入等步骤,并提供了如何从内存中dump傀儡进程及修复dump文件使其能够正常运行的方法。

傀儡进程创建过程:

(1) CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED;

(2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB;

(3) ZwUnmapViewOfSection卸载挂起进程内存空间数据;

(4) VirtualAlloc分配内存空间;

(5) WriteProcessMemory将恶意代码写入分配的内存;

(6) SetThreadContext设置挂起进程状态;

(6) ResumeThread唤醒进程运行。

傀儡进程是恶意软件隐藏自身代码的常用方式,在调式过程中,若遇到傀儡进程,需要将创建的子进程数据从内存中dump出来,作为PE文件单独调试,dump的时机为ResumeThead调用之前,此时傀儡进程内存数据已经完全写入,进程还未正式开始运行。

若dump后文件无法运行,OD加载失败,则需要做如下修复:

(1) FileAlignment值修改为SectionAlignment值;

(2) 所有section的Raw Address值修改为Virtual Address.


参考:

http://www.programlife.NET/puppet-process-memory-dump.html
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
网络安全风险危害及处置建议
Hacker_xingchen的博客
01-17 422
该病毒是Win32可运行程序,使用UPX、Upack、FSG或NSAnti格式加壳,并通过加密、压缩、反调试和反仿真技术来隐藏其真正的用途。3、该木马病毒会控制感染主机构建僵尸网络,可能会下载其它病毒到受感染主机上,进一步危害用户的计算机,甚至可能会进行其他如DoS/DDoS拒绝服务攻击等恶意活动。该木马病毒会窃取包括游戏的登录信息和游戏内的相关信息在内的个人隐私信息,并会将其发送到指定服务器,可能会使盗取用户个人账号或账号内资产。3.重启电脑,等待十分钟,若删除的异常值与文件不再出现,则该病毒已被清除。
傀儡进程 插入
tony的专栏
10-25 1375
BOOL InjectProcess(LPTSTR VictimFile,LPTSTR InjectExe) { HANDLE hFile; DWORD dwFileSize; //文件大小 IMAGE_DOS_HEADER DosHeader; IMAGE_NT_HEADERS NtHeader; PROCESS_INFORMATION pi; STARTUPINFO si;
傀儡进程学习
0xDQ的博客
10-05 4702
0x00 前言 最近做了一道18年swpuctf的题,分析了一个病毒,正巧都用到了傀儡进程,就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章,如有错误,还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录,再拼上GAME.EXE 进入sub_4011D0 首先寻找资源,做准备工作,进入sub_4012C0 1)检测PE结构 2)CreateProcessA 创建进程 3)GetThreadContext...
dll注入系列——傀儡进程
40KO的博客
04-11 1138
0x0介绍 之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入。 傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...
傀儡进程详解
N阶二进制的博客
06-21 953
傀儡进程是一种高级的隐蔽技术,攻击者利用进程注入、进程替换和隐藏技术,伪装成合法进程进行恶意活动。理解这些技术及其防范措施对于保护系统安全至关重要。希望通过此详解和示例,大家能更好地理解傀儡进程的工作原理和防范方法。
C++打造Windows傀儡进程:安全实现指南
在讨论Windows傀儡进程实现的C++代码之前,我们需要了解傀儡进程(Puppet Process)在计算机安全领域中的含义以及它的工作原理傀儡进程,常被称为木偶进程傀儡进程,是计算机安全术语中一个特定的概念。在恶意...
隐藏真实路径和进程名 你懂得
01-12
它能够帮助用户创建一个傀儡文件,这个傀儡文件在运行时会隐藏实际可执行文件的真实路径和进程名,从而增加了程序的隐蔽性。 首先,让我们了解一下什么是进程路径和进程名。在操作系统中,每个运行的程序都对应一个...
隐藏了的进程如何获取进程id
最新发布
08-29
- **注意事项**:如果进程通过“傀儡进程”技术隐藏(引用[3]),PID可能无效或被复用,需结合内存分析。 #### 2. **Linux系统下的方法** 在Linux中,隐藏进程常通过修改`/proc`文件系统或HOOK `sys_getdents64`...
Windows傀儡进程实现C++代码
04-28
Windows平台傀儡进程实现,采用C++, vs2008实现,完美实现
EXE注入分析之傀儡进程
酷酷的鱼 - 网络编程,服务器安全专栏
01-15 3580
最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了, 但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释, 方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下, 说错的地方请各位大神指正,板砖吐口水都可以。 --- 我是淫荡的分割线--- 提到傀儡进程,首先想到的
傀儡进程
weixin_42539095的博客
12-07 649
常见傀儡进程流程: (1)CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB; (3) ZwUnmapViewOfSection卸载挂起进程内存空间数据; (4) VirtualAlloc分配内存空间; (5) WriteProcessMemory将恶意代码写入分配的内存; (6) SetThreadContext设置
[Rootkit] 傀儡进程
墨鱼菜鸡
08-16 201
实现原理: 以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。 ...
关于傀儡进程的笔记
A13781798811的博客
03-12 280
最近在分析一个病毒时,病毒通过创建傀儡进程,内存映射来执行恶意代码。 但在分析的时候遇到附加后傀儡进程数据出错的问题。 百度到的常见傀儡进程流程: (1)CreateProcess一个进程,并挂起,即向dwCreationFlags参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX...
创建傀儡进程
挖树
10-14 1086
折腾好久,总算完成了自己第一次的傀儡进程编写。 效果:使当前进程创建一个子进程(同名) 掏空子进程,注入任何自己编写好的其他exe。 注意点 1.用来创建傀儡进程的父进程程序 需要是32位程序,因为编码的程序本身就是win32控制台程序 2.注入到进程中的程序32位,64位都行 3.pe结构取值时一定一定要留心是否需要加基址。 4.注意区分CUI程序和GUI程序,如果代码编写的是32位控制台程序,...
傀儡进程注入
qq_40710190的博客
05-08 1147
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值