进程注入

cover

自动进程注入的两种方式

metasploit-framework

进程注入是内网渗透过程中常用的一种技术,当前流行内网渗透工具如Cobalt Strike,Metasploit-Framework,Empire等都支持进程注入功能,其底层原理都是在系统进程的内存中运行恶意代码,达到隐藏自身的作用.本文介绍使用metasploit-framework进行自动进程注入的两种方式及其优缺点.

happy
2021-03-08 16:30:11

235550次阅读 1

cover

红队新思路：利用Windows调试框架在.NET进程内直接调用.NET方法

目前，用于后漏洞利用阶段的.NET仍然存在。这些利用方式已经与大多数C2框架捆绑在一起，移植到通用工具中，添加了AMSI的绕过方式，并使用非常巧妙的方法来运行非托管代码。

P!chu
2020-08-14 15:00:40

341557次阅读 2

cover

如何通过内存解码的方式加载CobaltStrike的Beacon马并不被杀软和EDR检测

在过去一周，我做了一些Win32API相关的研究并尝试将其应用到实际的攻击中，在过去我已经做了一些与进程注入相关的工作，但是我一直在寻找更高级的攻击方式，同时希望能在进程注入的方向上更上一层楼。

jux1a
2020-07-28 10:00:29

288463次阅读 1

cover

从零起步揭秘如何构建Process Hollowing进程注入检测（一）：研究

Process Hollowing

通常情况下，在对攻击活动进行检测的过程中，我们会遇到一些难以有效检测的攻击技术。

P!chu
2020-03-17 11:15:55

671782次阅读 1

cover

如何将.NET程序注入到非托管进程

.NET是一个强大的编程语言，可以用来快速可靠地开发软件，然而.NET也有其不适用的一些场景。本文重点讲解了DLL注入的一个案例，当未加载.NET Runtime时，无法向一个远程进程中注入.NET DLL（托管DLL）。

P!chu
2018-10-29 14:30:51

278957次阅读 3

cover

Windows进程注入payload分析

本文的目的是讨论将payload部署到目标进程的内存空间以便执行。我们可以使用传统的Win32 API来完成这个任务，有些读者可能已经对此很熟悉了，但是使用非常规方法也有可能具有创造性。

yimeng
2018-07-19 17:00:23

272370次阅读

cover

针对新型进程注入技术Ctrl-Inject的原理分析

在本文中，我们将主要介绍一种新型的进程注入方法，我们称之为“Ctrl-Inject”，它利用控制台应用程序中处理Ctrl信号的机制实现注入。

P!chu
2018-05-14 15:00:25

219025次阅读

cover

深入分析Get-InjectedThread进程注入检测工具的原理并尝试绕过

在该文章中，讨论了一个名为“Get-InjectedThread”的工具，该工具是一个PowerShell脚本，能够列举当前正在运行的进程，检测并显示可能已经被进程注入的可疑进程。这一工具可以在GitHub下载。

P!chu
2018-04-11 14:06:10

253949次阅读

cover

深入分析恶意软件Formbook：混淆和进程注入（下）

这是本系列的下篇。Formbook是用C语言和x86汇编语言编写的窗体捕获和窃取的恶意软件。这是一个已经准备售卖的恶意软件，可以被任何不具备恶意软件开发技能的犯罪分子所使用。

P!chu
2018-04-04 12:12:20

238068次阅读