摘要:
实现原理: 修改进程环境块中的进程路径以及命令行信息,从而达到进程伪装的效果。所以,实现的关键在于进程环境块的获取。可以通过ntdll.dll中的导出函数NtQueryInformationProcess来获取指定进程的PEB地址。因为该程序进程可能与目标进程并不在同一个进程内。由于进程空间独立性的 阅读全文
摘要:
实现原理: windows系统可以设置计划任务来执行一些定时任务。创建一个计划任务,设置任务的触发条件以及执行操作。将触发条件设置为用户登录,执行操作设置为启动目标程序。这样,程序就可以实现开机自启动功能了。 注意:创建计划任务要求程序必须要有管理员权限。 实现过程: (1).初始化操作 1.初始化 阅读全文
摘要:
前言: 实现开机自启动的途径和方式有很多种,其中修改注册表方式应用最为广泛。注册表相当是操作系统的数据库,记录着系统中方方面面的数据,其中也不乏直接或间接导致开机自启动的数据。 实现原理: windows提供了专门的开机自启动注册表。在每次开机完成后,它都会在这个注册表键下遍历键值,以获取键值中的程 阅读全文
摘要:
前言: 将DLL文件作为资源插入到自己程序中的方法,前面已经说过了。附上链接:MFC —— 资源文件释放(为了程序更简洁) 程序需要动态调用DLL文件,内存加载运行技术可以把这些DLL作为资源插入到自己的程序中。此时直接在内存中加载运行即可,不需要再将DLL释放到本地。 实现原理: 将资源加载到内存 阅读全文
摘要:
前言: 在一个进程中创建并启动一个新进程,无论是对于病毒木马程序还是普通的应用程序而言。这都是一个常见的技术,最简单的方法无非是直接通过调用WIN32 API函数创建新进程。用户层上,微软提供了WinExec、ShellExecute和CreateProcess等函数来实现进程创建 实现代码: // 阅读全文
摘要:
前言: "APC"是"Asynchronous Procedure Call"(异步过程调用)的缩写,它是一种软中断机制,当一个线程从等待状态中苏醒时(线程调用SignalObjectAndWait 、SleepEx、WaitForSingleObjectEx、WaitForMultipleObje 阅读全文
摘要:
前言: 之前提到,由于SESSION 0隔离机制,导致传统远程线程注入系统服务进程失败。经过前人的不断逆向探索,发现直接调用 ZwCreateThreadEx 函数将其第7个参数 CreateSuspended(CreateThreadFlags)的值置为零可以进行远程线程注入,还可以突破 SESS 阅读全文
摘要:
前言: windows中大部分的应用程序都是基于消息机制的,它们都有一个消息过程函数,根据不同的消息完成不同的功能。而消息钩子是windows提供的一种消息过滤和预处理机制,可以用来截获和监视系统中的消息。按照钩子作用范围不同,又可以分为局部钩子和全局钩子。局部钩子是针对某个线程的,而全局钩子是作用 阅读全文
摘要:
应用场景: 病毒木马会广泛常用资源文件释放技术。程序会将一些DLL文件、文本文件、图片文件或其它的音/视频文件作为资源插入到程序里,等到程序运行后,使用资源文件释放技术将它们释放到本地上,这样编译出来的程序只有一个exe文件,而不需要附带其它文件,因而程序变得简洁,降低了被发现的风险。 资源插入的步 阅读全文