蛇矛实验室

本文将阐述 4 种 PE（这里特指 EXE） 的进程注入技术，它们将篡改 PE 映像从而执行恶意代码，包括 `Process Hollwoing`、`Process Doppelganging`、`Process Herpaderping`、`Process Ghosting`。

云函数（Serverless Cloud Function，SCF）是腾讯云为企业和开发者们提供的无服务器执行环境，帮助您在无需购买和管理服务器的情况下运行代码。您只需使用平台支持的语言编写核心代码并设置代码运行的条件，即可在腾讯云基础设施上弹性、安全地运行代码。SCF 是实时文件处理和数据处理等场景下理想的计算平台。

攻击者可以通过修改进程内存来伪造可疑程序的命令行参数信息。当通过命令行执行相关命令时，分析人员使用诸如 Procmon，Process Hacker，Sysmon 等监视工具可以查看运行命令的详细信息。

无需重置计算机帐户即可利用 Zerologon 的方法

在这一小节中，我们通过固件降级的相关操作，并结合SD卡固件提取知识点，完成对某T设备的初步分析，后续小节我们将对某T设备进行固件解密以及设备协议进行分析。

这一小节，我们学习了unicorn框架的使用基础，并通过一道ctf题目仿真并解出了flag。同时学习了unicorn在固件解密方向的思路，使我们更加了解unicorn框架。

一些事件记录工具会监视目标进程的创建从而记录进程创建后的一些信息，可以在创建进程的时候使用假的命令行参数进行欺骗，从而误导这些分析工具，还存在一些进程管理工具，比如 Process Hacker 会通过目标进程的 PEB 中获取进程命令行参数信息，它会根据命令行参数的长度读取命令行参数信息，只需要修改命令行参数的长度进而欺骗这些进程管理工具。在进行进程命令行参数欺骗时，注意用于欺骗的命令行参数长度(在创建挂起的进程时传递的参数)要大于真实的命令行参数长度(在运行时修改的命令行参数)。

在上篇《VBA隐藏技术stomping》中，我们分析过，当编译脚本的VBA版本与运行时版本一致时，才能执行P-Code，可以通过修改VBA脚本的源码，来欺骗OLE分析工具，但是该方法无法欺骗编译器，因为编译器版本与脚本文件运行版本一致时，编译器会将P-Code反编译，分析人员可以看到VBA脚本的真实代码，stomping技术便会失效，因此我们需要阻止分析人员打开编译器。修复完脚本文件后，重新将文档文件打包，修改后缀，然后打开word，点击的编译器编辑按钮，发现VBA脚本编译器可以正常打开。

进程注入是一种众所周知的技术，恶意程序利用它在进程的内存中插入并执行代码。进程注入是一种恶意程序广泛使用的防御规避技术。大多数情况下，恶意程序使用进程注入来动态运行代码，这意味着实际的恶意代码不需要直接写入磁盘上的文件中，以避免被防病毒软件的静态检测所发现。简单来说，进程注入就是将一段数据从一个进程传输到另一个进程的方法，这种注入过程可以发生在执行操作的同一进程（自注入）上，也可发生在外部进程上。

在 PE 文件中，重定位表位于 ". reloc" 节。FileHeader 结构 (IMAGE_FILE_HEADER)中给出了节表的数量，通过循环将 PE 文件中的所有节表数据拷贝 (memcpy)到分配的内存中，每个节表数据从 IMAGE_SECTION_HEADER.PointerToRawData 开始复制，复制的大小为 IMAGE_SECTION_HEADER.SizeOfRawData，复制到分配内存基地址偏移为 IMAGE_SECTION_HEADER.VirtualAddress 处。

这里为一个exe加载CS ShellCode的简单流程，在我们生成ShellCode分为stager和stageless两种，从上图可知最后都会加载beacon.dll这个程序，原始生成出来的shellCode我们很容易处理加密解密，但是ShellCode执行时加载的beacon的ShellCode我们就是很好处理了。Free掉之后会直接掉线并且程序崩溃，我们基本可以确定这是主要的，但是这里并不是真正的beacon的ShellCode，仍是一个主要的检测点，我们目前只针对这里做处理。

通过检测自身父进程来判定是否被调试，原理非常简单，我们的系统在运行程序的时候，绝大多数应用程序都是由explorer.exe这个父进程派生而来的子进程，也就是说如果没有被调试其得到的父进程就是explorer.exe的进程PID，而如果被调试则该进程的父进程PID就会变成调试器的PID值，通过对父进程的检测即可实现检测是否被调试的功能。需要注意的是，虽然使用 ThreadHideFromDebugger 可以增加程序的安全性，但它并不是绝对的安全措施，因为仍然存在其他方法可以绕过或检测到线程隐藏。

反调试技术，是一种防止逆向的方案。逆向人员如果遇到复杂的代码混淆，有时会使用调试器动态分析代码逻辑简化分析流程。例如恶意软件通常会被安全研究人员、反病毒厂商和其他安全专业人员分析和调试，以了解其行为和功能，并开发相应的安全措施来保护系统，这时，恶意软件开发人员就会使用反调试技术阻碍逆向人员的分析，以达到增加自己恶意代码的存活时间。此外，安全人员也需要了解反调试技术，当遇到反调试代码时，可以使用相对应的反反调试。

对于 Windows 操作系统，操作系统的大部分功能都是由 DLL 提供的。此外，当您在这些 Windows 操作系统上运行程序时，该程序的大部分功能可能由 DLL 提供。例如，一些程序可能包含许多不同的模块，程序的每个模块都包含在DLL中并分布在DLL中。DLL 的使用有助于促进代码的模块化、代码重用、有效的内存使用和减少磁盘空间。因此，操作系统和程序加载速度更快，运行速度更快，并且在计算机上占用的磁盘空间更少。当程序使用 DLL 时，称为依赖性的问题可能会导致程序无法运行。

本篇文章涉及了几个重要的点，CreateProcessA ETW 父进程伪装。目前我们所做的免杀并非单个技术就可以完成的，我们要结合很多种免杀的手段或者动态改变的手段才能让自己的程序在对抗杀软的时候不落下风。蛇矛实验室成立于2020年，致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成，团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。

IAT（import address table，导入地址表）是指PE文件格式中的一个表结构，说到IAT就离不开导入表，在实际的开发过程中，难免会使用到Windows API，这些API的代码保存在Windows提供的不同的DLL（动态链接库）文件中，DLL将这些API导出，在可执行程序中使用到其他DLL的代码或数据时，编译器会将这些导入的信息填充到可执行程序的导入表中。由于VEH的异常处理发生在之前，所以通过`主动抛出异常，使程序触发异常，进而使控制权交给异常处理例程的这一系列操作来实现Hook。

隐藏的时候需要提前找到一个载体。我们目前通过的是读取文件获取我们demo的exe，可以提前获取好，放到我们的内存中，这样更隐蔽。需要注意main函数和winmain，main函数会报错蛇矛实验室成立于2020年，致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成，团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。

熟悉 Windows 编程的人应该知道，Native API 一般是不直接对外公开的，它通常作为操作系统内部的一个组件，并且只能由操作系统内部的组件或应用程序调用，所以在使用一些未文档的化的 Native API 时，需要通过网上公开的资料或者通过逆向取获取其函数原型和相关参数。在安全研发的过程中，难免会遇到在用户模式对抗 AV/EDR 的挂钩，应对的方法有很多，比如可以使用直接系统调用，还可以将杀软的所挂的钩子解除，还有一种就是寻找具有相同功能未被挂钩的 API。