随笔分类 -  劫持 Windows PE

摘要:创建傀儡进程svchost.exe并注入DLL文件(Shellcode)本文主要利用 SetThreadContext 修改进程中的线程上下文来实现DLL注入(ShellCode 形式)。 阅读全文
posted @ 2024-01-14 12:10 Rainbow_Technology 阅读(567) 评论(0) 推荐(0) 编辑
摘要:提取 PE文件 / 目标程序 的各种信息前段时间项目需要实现对 Windows PE 文件版本信息的提取,如文件说明、文件版本、产品名称、版权、原始文件名等信息。获取这些信息在 Windows 下当然有一系列的 API 函数供调用,简单方便。 阅读全文
posted @ 2024-01-10 17:47 Rainbow_Technology 阅读(187) 评论(0) 推荐(0) 编辑
摘要:劫持 PE 文件:新建节表并插入指定 DLL 文件这种方法其实是 PE 感染的一种,通过对目标程序添加一个新节并注入DLL,然后这会改变 PE 文件的大小,将原有的导入表复制到新节中,并添加自己的导入表描述符,最后将数据目录项中指向的导入表的入口指向新节。 阅读全文
posted @ 2024-01-07 20:54 Rainbow_Technology 阅读(180) 评论(0) 推荐(0) 编辑
摘要:劫持 PE 文件:搜索空间缝隙并插入ShellCode因近期项目需要弄一款注入型的程序,但多次尝试后发现传统的API都会被安全软件拦截,比如 CreateRemoteThread、SetWindowHookEx、APC、GetThreadContext、SetThreadContext,甚至 NtCreateThreadEx 也是如此,也有试想过用驱动,但是奈何没有数字签名。 阅读全文
posted @ 2024-01-06 16:22 Rainbow_Technology 阅读(86) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示