摘要: 1、shellcode提取 https://github.com/hasherezade/pe-sieveshellcode扫描和内存可疑hook扫描工具虽有误报 但是对于调查取证还是够用的 2、shellcode模拟speakeasy -t payload.bin -r -a x64* exec: 阅读全文
posted @ 2023-09-21 17:04 bonelee 阅读(180) 评论(0) 推荐(0) 编辑
摘要: 注入类型 C++代码实现链接和检测思考 检测优先级 备注Portable Executable Injection - PE注入 https://www.cnblogs.com/bonelee/p/17719649.html 高 核心还是创建远程线程,不过有PE重定位表的修复Thread Execu 阅读全文
posted @ 2023-09-21 12:18 bonelee 阅读(414) 评论(0) 推荐(0) 编辑
摘要: PE(Portable Executable)注入是一种常见的代码注入技术,主要用于在目标进程中执行恶意代码。以下是PE注入的基本流程:1. 获取当前PE映像的基地址:使用GetModuleHandle(NULL)函数获取当前PE映像(即要注入的代码)的基地址。2. 复制PE映像:使用Virtual 阅读全文
posted @ 2023-09-21 12:07 bonelee 阅读(385) 评论(0) 推荐(0) 编辑
摘要: Extra Window Memory(额外窗口内存)注入是一种在Windows环境下隐藏恶意代码的技术。这种技术的基本思想是利用Windows的窗口子系统(Window Subsystem)中的一个特性:每个窗口都可以有一段额外的内存,这段内存可以用来存储用户自定义的数据。在Extra Windo 阅读全文
posted @ 2023-09-21 11:32 bonelee 阅读(331) 评论(0) 推荐(0) 编辑