傀儡进程

最新推荐文章于 2024-06-21 07:00:00 发布
最新推荐文章于 2024-06-21 07:00:00 发布
阅读量718 收藏
点赞数
分类专栏: # 隐藏技术 文章标签: 进程 内核 windows
作者:苞米地里捉小鸡 版权声明:本文为博主原创文章,转载请附上博文链接!
本文链接:https://blog.youkuaiyun.com/weixin_42709632/article/details/109062248
版权
傀儡进程技术通过挂起进程、修改线程上下文,实现恶意ShellCode的注入。首先创建并挂起目标进程,接着在目标进程中分配内存并写入ShellCode。然后获取并修改线程上下文,使进程执行ShellCode地址。最后恢复线程,使得进程在执行正常程序的同时执行我们的代码。这种方法常用于隐蔽的恶意行为或安全研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。

函数介绍

1.GetThreadContext

获取指定线程的上下文

2.SetThreadContext

设置指定线程的上下文

3.ResumeThread

减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行

实现原理

(1)第一步

利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程

bRet = ::CreateProcess(pszFilePath,NULL,NULL,NULL,FALSE,CREATE_SUSPENDED,NULL,NULL,&si,&pi)

(2)第二步

使用VirtualAllocEx在目标进程中申请一块内存,这块内存主要用于存放ShellCode数据,写入ShellCode数据使用WriteProcessMemory函数

什么是ShellCode自行百度哈

(3)第三步

使用GetThreadContext函数获取目标进程的线程上下文,然后使用SetThreadContext修改原来进程PE结构的加载基址,将存放ShellCode的地址作为第一执行顺序。

(4)第四步

使用ResumeThread函数恢复挂起进程的线程,让进程按照修改后的EIP继续运行,这一步主要是和第一步挂起主线程对应

目标

该技术主要是为了实现在目标进程中“夹带私货”,运行正常进程的同时运行我们自己想要加载的线程。

其中需要注意的是,在使用GetThreadContext获取线程上下文的时候,一定要对上下文结构中的ContextFlags成员赋值,知名要检索线程上下文的哪些部分,若赋值为CONTEXT_FULL表示获取所有线程的上下文信息。

另外第一步和第四步是对应关系,我们需要先挂起进程,不让他继续运行,然后插入我们的Shellcode后再通过ResumeThead让进程继续运行。

 

 

.NET 通过傀儡进程执行Shellcode
ahhacker86的专栏
04-10 453
首先通过调用CreateProcess函数来创建一个新的进程,并特别设置了该进程的启动标志为CREATE_SUSPENDED,这样在创建后会立即处于挂起状态,主线程不会立即执行任何代码,而是等待后续的指令来恢复其执行。综上,傀儡进程是通过篡改某进程的内存数据来实现的,具体做法是在内存中写入Shellcode,并操纵进程的执行流程,使其转而执行恶意的Shellcode。傀儡进程是指被攻击者通过技术手段,修改其内存数据,并植入恶意的Shellcode,进而控制其执行流程,使其转向执行恶意代码进程
傀儡进程注入
qq_40710190的博客
05-08 1127
傀儡进程注入 这个注入之所以叫傀儡进程注入是因为其做法是先创建一个A进程,然后将其内存替换成要执行的代码,而从外部来看就是最初创建的A进程。 从我的视角来看跟PE文件注入还蛮像的,不同点在于PE文件注入是将代码注入进去后修改EntryPoint引导至注入的代码,而傀儡进程注入则更加简单暴力一些😋,把所有内存替换了。 多亏了之前的一些PE基础因此没有特别费劲PE文件头格式解析 本章详细讲解m0n0ph1的源码 创建傀儡进程 根据一开始所说,我们需要创建一个进程 printf("Creating process
傀儡进程 插入
tony的专栏
10-25 1346
BOOL InjectProcess(LPTSTR VictimFile,LPTSTR InjectExe) { HANDLE hFile; DWORD dwFileSize; //文件大小 IMAGE_DOS_HEADER DosHeader; IMAGE_NT_HEADERS NtHeader; PROCESS_INFORMATION pi; STARTUPINFO si;
EXE注入分析之傀儡进程
酷酷的鱼 - 网络编程,服务器安全专栏
01-15 3552
最近学习PE结构,顺便看到了一篇WIN32 EXE注入的文章,代码是04年的,比较古老了, 但是代码写的很好,受益匪浅,然后在百度很少找到翻译的比较清楚的文章,这篇我在代码中加了中文注释, 方便菜鸟理解,阅读这篇帖子需要熟悉PE结构,如果你不懂PE结构建议你先去学习下, 说错的地方请各位大神指正,板砖吐口水都可以。 --- 我是淫荡的分割线--- 提到傀儡进程,首先想到的
[Rootkit] 傀儡进程
墨鱼菜鸡
08-16 188
实现原理: 以挂起的方式打开目标进程,将ShellCode代码写入目标进程,并修改目标进程的执行流程,使其转而执行ShellCode代码,这样,进程还是目标原本进程,但执行的操作却替换成我们的ShellCode了。 ...
Windows傀儡进程实现C++代码
04-28
Windows操作系统中,傀儡进程(也称为子进程或服务进程)是指由父进程创建并控制的进程。这种控制通常包括启动、停止、监控以及与之通信等操作。本项目"Windows傀儡进程实现C++代码"是使用C++编程语言在Visual ...
傀儡进程学习
0xDQ的博客
10-05 4622
0x00 前言 最近做了一道18年swpuctf的题,分析了一个病毒,正巧都用到了傀儡进程,就想着把傀儡进程学习一下。本文权当个人的学习总结了一些网上的文章,如有错误,还请路过的大佬斧正。 0x01 SWPUCTF -- GAME 进入main函数 先获取当前目录,再拼上GAME.EXE 进入sub_4011D0 首先寻找资源,做准备工作,进入sub_4012C0 1)检测PE结构 2)CreateProcessA 创建进程 3)GetThreadContext...
dll注入系列——傀儡进程
40KO的博客
04-11 1106
0x0介绍 之前说过,要动态注入dll文件,则需要执行程序中本身没有的加载操作,必须改变控制流,除了创建线程外,还可以劫持控制流。这与二进制漏洞利用比较类似,我们向程序写入一段shellcode,然后改变线程上下文,让其去执行shellcode,这段shellcode完成LoadLibrary的操作,就完成了dll注入。 傀儡进程的本质是利用其他进程空间来执行我们的写入代码,它的实现并不困难...
另类傀儡进程——利用内存映射文件与APC注入实现
qq_41861225的博客
02-25 975
**前言:**近日分析某游戏辅助软件时,发现其使用了傀儡进程的方式,本以为是常见的傀儡进程技术实现,但在分析时并未发现其调用常规函数实现,而是使用了一些内存映射的API,所以仔细分析后发现其傀儡进程的实现技术有所不同,故学习整理。 一、 傀儡进程 傀儡进程是指将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程。 一般来说傀儡进程的创建流程分别为以下几点: 以挂起的方式进行创建...
详解Linux CPU负载和CPU使用率
01-10
CPU负载和 CPU使用率 这两个从一定程度上都可以反映一台机器的繁忙程度. cpu使用率反映的是当前cpu的繁忙程度,忽高忽低的原因在于占用cpu处理时间的进程可能处于io等待状态但却还未释放进入wait。 平均负载(load average)是指某段时间内占用cpu时间的进程和等待cpu时间的进程数,这里等待cpu时间的进程是指等待被唤醒的进程,不包括处于wait状态进程。 以上分析可以看出,一台机器很有可能处于低cpu使用率高负载的情况,因此看机器的繁忙程度应该结合两者,从实际的使用情况观察,自己的一台双核志强2.8GHZ,2G内存的机器在平均负载到50左右,cpu使用率才接近100%(
傀儡进程详解
最新发布
N阶二进制的博客
06-21 839
傀儡进程是一种高级的隐蔽技术,攻击者利用进程注入、进程替换和隐藏技术,伪装成合法进程进行恶意活动。理解这些技术及其防范措施对于保护系统安全至关重要。希望通过此详解和示例,大家能更好地理解傀儡进程的工作原理和防范方法。
傀儡进程技术分析
darcy_123的博客
10-13 1121
前言: 傀儡进程是将目标进程的映射文件替换为指定的映射文件,替换后的进程称之为傀儡进程;常常有恶意程序将隐藏在自己文件内的恶意代码加载进目标进程,而在加载进目标进程之前,会利用ZwUnmpViewOfSection或者NtUnmapViewOfSection进行相关设置 相关技术要点 1.创建挂起进程 系统函数CreateProcessW中参数dwCreation传递CREATE_SUSP...
关于傀儡进程的笔记
A13781798811的博客
03-12 270
最近在分析一个病毒时,病毒通过创建傀儡进程,内存映射来执行恶意代码。 但在分析的时候遇到附加后傀儡进程数据出错的问题。 百度到的常见傀儡进程流程: (1)CreateProcess一个进程,并挂起,即向dwCreationFlags参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX...
创建傀儡进程
挖树
10-14 1066
折腾好久,总算完成了自己第一次的傀儡进程编写。 效果:使当前进程创建一个子进程(同名) 掏空子进程,注入任何自己编写好的其他exe。 注意点 1.用来创建傀儡进程的父进程程序 需要是32位程序,因为编码的程序本身就是win32控制台程序 2.注入到进程中的程序32位,64位都行 3.pe结构取值时一定一定要留心是否需要加基址。 4.注意区分CUI程序和GUI程序,如果代码编写的是32位控制台程序,...
进程注入之创建傀儡进程
yeanhoo的博客
10-19 1955
傀儡进程:创建一个进程,然后将其虚拟地址里的内容掏空,注入想要注入的进程,以达到掩人耳目的效果 步骤: 1.以挂起的方式创建一个进程 2.卸载该进程的内存映射,即掏空该进程虚拟内存空间中的内容 3.获取该进程的CONTEXT上下文结构 4.将要注入的程序读入到内存中 5.在傀儡进程中申请足够的内存空间 6.手动将要注入的程序写入傀儡进程中所申请的内存空间 6.设置CONTEXT上下文的Eax为程序...
傀儡进程原理及调试
小黑话不多
08-11 3406
傀儡进程创建过程: (1) CreateProcess一个进程,并挂起,即向dwCreationFlags 参数传入CREATE_SUSPENDED; (2) GetThreadContext获取挂起进程CONTEXT,其中,EAX为进程入口点地址,EBX指向进程PEB; (3) ZwUnmapViewOfSection卸载挂起进程内存空间数据; (4) VirtualAllo
创建傀儡进程svchost.exe并注入DLL文件(Shellcode)
【Rainbow Network Technology co., LTD】
08-13 1136
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值