随笔分类 - 劫持 Windows PE
摘要:
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现DLL注入(ShellCode 形式)。
阅读全文
![创建傀儡进程svchost.exe并注入DLL文件(Shellcode)](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240114120852540-1571472331.png)
摘要:
前段时间项目需要实现对 Windows PE 文件版本信息的提取,如文件说明、文件版本、产品名称、版权、原始文件名等信息。获取这些信息在 Windows 下当然有一系列的 API 函数供调用,简单方便。
阅读全文
![提取 PE文件 / 目标程序 的各种信息](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240110174549070-1997253541.png)
摘要:
这种方法其实是 PE 感染的一种,通过对目标程序添加一个新节并注入DLL,然后这会改变 PE 文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节。
阅读全文
![劫持 PE 文件:新建节表并插入指定 DLL 文件](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240107205310969-1951850656.png)
摘要:
因近期项目需要弄一款注入型的程序,但多次尝试后发现传统的API都会被安全软件拦截,比如 CreateRemoteThread、SetWindowHookEx、APC、GetThreadContext、SetThreadContext,甚至 NtCreateThreadEx 也是如此,也有试想过用驱动,但是奈何没有数字签名。
阅读全文
![劫持 PE 文件:搜索空间缝隙并插入ShellCode](https://img2024.cnblogs.com/blog/3367775/202401/3367775-20240106155859486-693507155.png)