进程注入

通常情况下,在对攻击活动进行检测的过程中,我们会遇到一些难以有效检测的攻击技术。
.NET是一个强大的编程语言,可以用来快速可靠地开发软件,然而.NET也有其不适用的一些场景。本文重点讲解了DLL注入的一个案例,当未加载.NET Runtime时,无法向一个远程进程中注入.NET DLL(托管DLL)。
本文的目的是讨论将payload部署到目标进程的内存空间以便执行。我们可以使用传统的Win32 API来完成这个任务,有些读者可能已经对此很熟悉了,但是使用非常规方法也有可能具有创造性。
在本文中,我们将主要介绍一种新型的进程注入方法,我们称之为“Ctrl-Inject”,它利用控制台应用程序中处理Ctrl信号的机制实现注入。
在该文章中,讨论了一个名为“Get-InjectedThread”的工具,该工具是一个PowerShell脚本,能够列举当前正在运行的进程,检测并显示可能已经被进程注入的可疑进程。这一工具可以在GitHub下载。
这是本系列的下篇。Formbook是用C语言和x86汇编语言编写的窗体捕获和窃取的恶意软件。这是一个已经准备售卖的恶意软件,可以被任何不具备恶意软件开发技能的犯罪分子所使用。