注入技术-突破session 0隔离的远线程注入 SESSION 0隔离在早期操作系统中,所有的服务和应用程序都是运行在同一个session中,session 0。这些一起运行的服务与应用程序,由于服务是以最高权限进行运行的,所以造成一些安全风险,恶意代码可以利用这点来提升自己的权限。 在Visita中,服务在一个叫做session0的特殊session中承载。应用程序在其他session中,这样服务与应用程序就隔离开来。这样的话,恶意代码要向注 2021-07-13 黑客编程 恶意代码 黑客编程 注入
注入技术-远程线程注入 远程线程注入远程线程注入是指一个进程在另一个进程中创建线程的技术。 函数介绍OpenProcess打开现有的本地进程对象 12345HANDLE OpenProcess( DWORD dwDesiredAccess, BOOL bInheritHandle, DWORD dwProcessId); dwDesiredAccess:访问进程对象。此访问权限为针对进程的安全描述符进行检查,此 2021-07-12 黑客编程 恶意代码 黑客编程 注入
病毒分析-资源释放+钩子注入 把上次写的资源释放和全局钩子注入结合起来,做了一个小demo,实现功能就是把自己的写的DLL作为资源加入,然后自释放出来,再调用这个DLL进行钩子注入。 使用dir工具先查看一下基本信息,可以看到当前程序未加壳。 再查看一下导入表的相关信息,看看都使用了哪些API。可以看到一些资源相关API,还有Loadlibrary和getprocaddress,这两个API,写过shellcode都知道使用 2021-07-12 病毒分析 逆向工程 病毒分析
病毒分析-资源释放 本篇来分析一下自己写的资源释放的小demo。 打开程序,发现没有任何改变,没有明显的行为。 使用die工具查一下文件的基本信息 查看一下导入表,可以看到FindResource等函数,这几个函数是用来操作资源的,猜测有可能是释放了一个资源节中的资源到电脑上。 还可以看到fwrite,fopen这样的函数,那么应该就是把资源释放到了一个路径中去。 可以使用resource hacker来查看 2021-07-09 病毒分析 逆向工程 病毒分析
注入技术-全局钩子注入 全局钩子注入windows中大部分应用程序都是基于消息机制的,每个进程都有自己的消息队列。 局部钩子是针对某个线程的,全局钩子是作用于整个系统的基于消息的应用。全局钩子需要使用DLL文件,在DLL文件中实现相应的钩子函数。 函数介绍SetWindowsHookEx函数将程序定义的钩子函数安装到挂钩链中,安装钩子程序可以监视系统是否存在某些类型的事件,这些事件与特定线程或调用线程所在桌面中的所有线程 2021-07-08 黑客编程 恶意代码 黑客编程 注入 HOOK
资源释放 资源释放恶意代码会广泛的使用此技术,因为它可以使程序变得简洁,提高隐蔽性。如果一个程序需要额外的加载一些DLL、文本文件或者其他类型文件,将它们可以作为资源插入到程序中,在程序运行的时候再将它们释放到本地上,这样恶意代码会更加隐蔽。 函数介绍FindResource函数,确定具有指定类型和名称的资源在指定模块中的位置12345HRSRC FindResourceW( HMODULE hModul 2021-07-08 黑客编程 恶意代码 黑客编程
写在前面的话 一直都在说要写博客,但是一直都没有很好的坚持下来,上次写博客还是大二的时候,这都过去好久了。 现在自己也搭建了一个博客,希望能够好好坚持下去吧,作为日常的学习记录,也希望能够写出一些有价值的东西。 最后的最后,我是不知名小团队satter的b1ackie。 2021-07-08
