进程注入检测方法

最新推荐文章于 2025-03-13 15:13:43 发布
最新推荐文章于 2025-03-13 15:13:43 发布
阅读量5.4k 收藏 3
点赞数
分类专栏: 驱动 文章标签: basic attributes list null byte thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/trents/article/details/6786857
版权
本文介绍了如何检测进程注入,重点在于Hook NtCreateThread并区分CreateRemoteThread和CreateThread。通过ProcessHandle获取目标进程ID,比较与当前进程ID,再通过线程数判断是否为进程调用。在2003及之前版本,需要额外考虑线程数,而在2008及以上系统,此步骤不再必要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进程注入通常都是涉及 CreateRemoteThread调用。在内核会调用到NtCreateThread(2008,vista,win7是NtCreateThreadEx),所以检测方法是Hook NtCreateThread,在钩子函数中判别是否是CreateRemoteThread调用引起。


CreateRemoteThread和CreateThread最终都会调用到NtCreateThread,所以需要对这两个方法进行区别判断,方法是CreateRemoteThread的目标进程ID和当前ID是不一样的,而CreateThread是相同的。

看NtCreateThread原型:

NTSTATUS NtCreateThread(
OUT PHANDLE             ThreadHandle,
  IN ACCESS_MASK          DesiredAccess,
  IN POBJECT_ATTRIBUTES   ObjectAttributes OPTIONAL,
  IN HANDLE               ProcessHandle,
  OUT PCLIENT_ID          ClientId,
  IN PCONTEXT             ThreadContext,
  IN PINITIAL_TEB         InitialTeb,
  IN BOOLEAN              CreateSuspended );


这里的ProcessHandle是目标进程Handle,通过这个Handle获得目标进程ID,然后通过PsGetCurrentProcessId得到当前的进程ID,比较这两个ID。

通过ProcessHandle得到目标进程ID的方法:

DWORD GetProcessIDByHandle(HANDLE

最低0.47元/天 解锁文章
进程注入方法详细介绍
Sumarua的博客
07-01 242
进程注入是一种技术,攻击者将恶意代码注入到合法的系统进程中运行。这种方法可以使恶意代码看起来像是合法进程的一部分,从而逃避安全软件的检测。通过注入合法进程,攻击者可以利用该进程的权限,并在系统中隐蔽存在。
进程注入系列Part 1 常见的进程注入手段
蛇矛实验室
04-18 1454
进程注入是一种众所周知的技术,恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下,恶意程序使用进程注入来动态运行代码,这意味着实际的恶意代码不需要直接写入磁盘上的文件中,以避免被防病毒软件的静态检测所发现。简单来说,进程注入就是将一段数据从一个进程传输到另一个进程方法,这种注入过程可以发生在执行操作的同一进程(自注入)上,也可发生在外部进程上。
DLL注入技术之劫持进程创建注入
潜心学习
06-28 2294
正规主题 作者: xusir98 日期: 2013-06-03 来源: 黑客反病毒 (http://bbs.hackav.com) 出处: 黑客反病毒 (http://bbs.hackav.com) 注意: 转载请务必附带本组信息,否则侵权必究! DLL注入技术之劫持进程创建注
openprocess打开进程失败_利用API unhooking完成进程注入,成功绕过Bitdefender检测
weixin_39531780的博客
12-03 668
绕过端点防护软件(如AV/EDR)是红队行动中的一项重要工作,但是在完成这项工作之前,我们可能需要一些时间来了解这些防护软件是如何工作的。而随着网上发布了大量关于这个主题的资源,了解这些产品的工作原理以及如何绕过它们也变得更加容易。在这篇文章中,我将向大家展示如何利用windows API unhooking技术来绕过BitDefender全功能安全套装的。在此过程中,我们将为读者介绍关...
系统后门应急排查方法
最新发布
无问社区的博客
03-13 309
首先需要确定后门运行时的行为,处置目标多数都是以获取目标样本,排查入侵来源,在排查中最高效直接的自然就是用杀软杀毒,如果当前杀软杀不出来,那就多换几个,当然,勒索病毒除外。直接对文件进行查杀验证,需要注意的是,有些后门文件会使用系统文件名,路径也极为相似,此时需要关注路径是否正确。1、通过tasklist查看进程dll,这里要有心理准备,会出现上百个dll让你排查。一般来讲,通过上述三种方式都能确定到后门进程/文件。在父进程的modules中可以排查到恶意dll文件。1、已经确定异常进程并找到了病毒文件。
testng 无法注入service_从零起步揭秘如何构建Process Hollowing进程注入检测
weixin_39567013的博客
11-02 170
概述通常情况下,在对攻击活动进行检测的过程中,我们会遇到一些难以有效检测的攻击技术。我们是否找到或创建了攻击的概念证明(PoC)?我们是否已经掌握了攻击的底层技术?我们是否可以将威胁事件与恶意活动相关联以创建一些分析逻辑?有哪些特点会在所有的攻击中保持不变?有哪些是会发生变化的?所有上述这些,都是在研究一种攻击技术时通常会提出的问题。在这篇文章中,我将逐步使用称为“能力抽象”的技术,逐步剥离出使攻...
查看进程是否被注入线程(不在系统模块)
henuyl的博客
07-22 1857
有些进程注入了某些恶意的线程(也可能不是恶意的) 首先我们拿到该进程进程模块,用来对比进程中线程的模块是否在这里面 把这些模块放入到vector里面 便利该进程的所有线程获取模块的起始地址和大小,很快就可以得到伪装线程。 #pragma region 依赖 typedef enum _THREADINFOCLASS{ ThreadBasicInformation, ThreadTimes, ThreadPriority, ThreadBasePriori..
检测是否有dll被注入
125096
05-05 5514
#include #include #include #include #include using namespace std; typedef basic_string, allocator > tstring; int ProcessModule(DWORD); int CheckProcessModule(DWORD pid); BOOL IsModuleValid(tstr
远程进程注入尝试
懒羊羊的梦想
11-22 264
渐渐的渐渐的,对于win32的编程有了一定的了解了,自己尝试了一下远程线程注入。 虽然说最后的结果没有在我的机器上面实现(可能是操作系统的问题,毕竟我的实现思路没有什么问题) 首先了解一下什么是远程线程,这一切都由于win32提供了一个函数,他叫createremotethread,它允许你在别的进程里面创建一个线程。 下面直接上函数文档,从中可以看到几个比较重要的点,首先是第一个参数,目的进程句...
进程注入器,dll注入
08-30
进程注入和DLL注入是计算机安全领域中的技术,主要用于软件调试、功能增强以及恶意软件的渗透测试。这些技术涉及操作系统的核心层面,尤其是进程管理和动态链接库(DLL)的加载机制。 DLL注入是一种技术,通过将一...
injection:Windows进程注入方法
07-24
以上所述的Windows进程注入方法,都需要深入理解Windows内核的工作原理、内存管理和API调用机制。在进行此类操作时,开发者应遵循最佳实践,确保代码的安全性和合法性。同时,作为用户,了解这些技术可以帮助识别...
服务Dll注入Svchost进程
08-31
程序功能:(知识点在doc中) 1、实现服务dll 2、注入到svchost进程 3、服务打开计算器(涉及到session,知识点) 4、线程输出时间debugview中查看 程序安装完服务,服务启动有以下方式: 1、重启电脑,使用电脑自带svhost服务组自启动服务; 2、手动执行脚本“DriverLifeSrvDll_启动服务.bat”; 3、打开任务管理器或者服务管理器,手动右键启动服务。
DLL注入测试工具
06-03
给定一个进程名称,获得当前进程系统中有该进程的实例(以PID列表形式),并给定一组DLL名称,检测DLL是否成功注入目标进程中。
内核注入DLL
08-21
采用内核驱动侏注入方式,在程序启动的时候注入DLL。具体实现采用SSDTHOOk NtCreateProcess NtCreateThread等函数实现,待改进点:SSDT中未导出函数的地址获得方式(或索引获得方式)
火绒注入(内核hook稳定注入)
09-09
火绒注入(内核hook稳定注入)
推荐文章:利用ETW实现进程注入检测——TiEtwAgent
gitblog_00044的博客
05-28 524
推荐文章:利用ETW实现进程注入检测——TiEtwAgent 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 TiEtwAgent是一个创新的开源项目,专注于研究、构建和测试内存注入检测的不同场景和技术,以及绕过技巧。这个智能代理利用了Microsoft-Windows-Threat-Intelligence事件追踪提供者,作为用户态挂钩的现代替代方案,提供了内核模...
病毒分析教程第七话--进程注入分析(上)
安全杂货铺
02-14 986
进程注入分析 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-1 本节实验使用样本Lab12-01.exe和Lab12-01.dll。 在你运行恶意代码可执行文件时,会发生什么? Lab12-01.exe调用了CreateRemoteThread、WriteProcessMemory等函数,不难想象它进行了进程注入...
Minderbinder:一款基于eBPF的进程安全测试工具
FreeBuf_的博客
09-27 1109
Minderbinder是一款基于eBPF的进程安全测试工具,在该工具的帮助下,广大研究人员可以通过注入噪声来测试目标进程的安全性。
python 获取窗口句柄的进程_原创干货 | 【恶意代码分析技巧】14修改内存指针实现进程注入...
weixin_39862899的博客
11-21 1361
上一篇文章中介绍的注入技术都是传统的注入技术,通用性好,但是也很容易被安全软件发现。随着研究的深入,攻击者们发现了新的注入技术,这类注入技术只攻击内存中特定的对象,修改内存指针,使得指针指向payload,再利用特定的操作触发payload执行。在这方面研究较多的是hexacorn(超链接:http://www.hexacorn.com/index.html)和modexp(超链接:ht...
深入解析Android进程注入技术
实现进程注入的方式多种多样,以下列举几种常见的方法: - **使用 `ptrace`**:利用 `ptrace` 系统调用可以附加到目标进程注入代码,这种方式在Linux环境下通用。 - **利用 `jdwp`**:`jdwp` 是 Java 调试线协议,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值