当前位置：首页 > 黑客业务 > 正文内容

笔记分享：各种注入方法Windows API组合

访客4年前 (2021-04-13)黑客业务552

整理笔记时发现之前留下的资料，抛砖引玉，分享给大家。

常见注入方法OpenProcess
VirtualAllocEx
WriteProcessMemory
CreateRemoteThreadDLL注入LoadLibrary/LoadLibraryEx
GetProcAddress
SetWindowsHookEx钩子注入APC注入CreateToolhelp32Snapshot
Process32First
Thread32First
Thread32Next
Process32Next
OpenProcess
VirtualAllocEx
WriteProcessMemory
QueueUserAPC/NtQueueApcThread
VirtualFreeEx
CloseHandle异步过程调用中断Atom Bombing注入CreateToolhelp32Snapshot
Thread32First
Thread32Next,
OpenThread
CreateEvent
DuplicateHandle
NtQueueApcThread
QueueUserAPC
GetModuleHandle
GetProcAddress
SetEvent
GetCurrentProcess
SleepEx
WaitForMultipleObjectsEx
MsgWaitForMultipleObjectsEx
CloseHandle据说可以绕过所有Windows AV查杀机制?ALPC注入NtQuerySystemlnformation
NtDuplicateObject/ZwDuplicateObject
GetCurrentProcess
NtQueryObject
NtClose
RtllnitUnicodeString
NtConnectPort
VirtualAllocEx
WriteProcessMemory
CopyMemory
ReadProcessMemory
VirtualFreeEx
VirtualQueryEx
GetMappedFileName,
OpenProcess
CloseHandle
GetSystemlnfoAdvanced/Asynchronous Local Procedure CallLOCKPOSCreateFileMappingW
MapViewOfFile
RtlAllocateHeap
NtCreateSection
NtMapViewOfSection
NtCreateThreadEx与僵尸网络Flokibot使用类似的注入技术Hollowing注入CreateProcess
NtQueryProcesslnformation
ReadProcessMemory
GetModuleHandle
GetProcAddress
ZwUnmapViewOfSection/NtUnmapViewOfSection
VirtualAllocEx
WriteProcessMemory
VirtualProtectEx
SetThreadContext
ResumeThread进程替换和RunPE，见封装工具:RISCyPackerDOPPELGANGINGCreateFileTransacted
WriteFlle
NtCreateSection
RollbackTransaction
NtCreateProcessEx
RtICreateProcessParametersEx
VirtualAllocEx
WriteProcessMemory
NtCreateThreadEx
NtResumeThread类似Hollowing,参考:https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdfREFLECTIVE反射注入CreateFileA
HeapAlloc
OpenProcessToken
OpenProcess
VirtualAlloc
GetProcAddress
LoadRemoteLibraryR/LoadLibrary
HeapFree
CloseHandle也可通过封装ReflectiverLoader实现线程执行劫持RtlAdjustPrivilege
OpenProcess
CreateToolhelp32Snapshot
Thread32First
Thread32Next
CloseHandle
VirtualAllocEx
OpenThread
VirtualFree/VirtualFreeEx
SuspendThread
GetThreadContext
VirtualAlloc
WriteProcessMemory
SetThreadContext
ResumeThread

其实现方法可在github上搜索源码，还有一些常见的方法(如注册表Appinit_DLL, AppCertDlls, IFEO）和不常见的hook方法(如EWMI)，后期再整理...

扫描二维码推送至手机访问。

本文链接：http://therlest.com/106303.html

分享给朋友：

返回列表

上一篇：为什么咱们要运用HTTP Strict Transport Security

下一篇：横向移动：使用COM对象进行横向移动的一些探讨

评论列表

痴者纵性

2年前 (2022-06-04)

SystemlnfoAdvanced/Asynchronous Local Procedure CallLOCKPOSCreateFileMappingWMapViewOfFi

回复该评论

鸽吻比忠

2年前 (2022-06-04)

OfSectionVirtualAllocExWriteProcessMemoryVirtualProtectExSetThreadContextResumeThread进程替换和R

回复该评论

酒奴殊姿

2年前 (2022-06-04)

MemoryVirtualProtectExSetThreadContextResumeThread进程替换和RunPE，见封装工具:RISCyPackerDOPPELGAN

回复该评论

听弧寄认

2年前 (2022-06-04)

enThreadVirtualFree/VirtualFreeExSuspendThreadGetThreadContextVirtualAllocWriteProcessMemorySetThreadContextResumeThr

回复该评论

发表评论

« 2024年9月 »
一	二	三	四	五	六	日
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

文章归档

黑客24小时在线接单的网站

笔记分享：各种注入方法Windows API组合

“笔记分享：各种注入方法Windows API组合” 的相关文章

华流芒种是几月几号农历

字节承认商业化团队撤城裁员

猪肉怎么选？颜色有区别吗？今天做饭的时候发现上次买的猪肉颜色跟这

今天发生的重大新闻5条，国内新闻最新消息10条

蜂胶多少钱一瓶是真的（蜂胶五毒膏多少钱一只）

本田汽车之家_本田2020款雅阁

评论列表

发表评论

Copyright Your WebSite.Some Rights Reserved.

黑客24小时在线接单的网站

笔记分享：各种注入方法Windows API组合

“笔记分享：各种注入方法Windows API组合” 的相关文章

华流芒种是几月几号农历

字节承认商业化团队撤城裁员

猪肉怎么选？颜色有区别吗？今天做饭的时候发现上次买的猪肉颜色跟这

今天发生的重大新闻5条，国内新闻最新消息10条

蜂胶多少钱一瓶是真的（蜂胶五毒膏多少钱一只）

本田汽车之家_本田2020款雅阁

评论列表

发表评论取消回复

Copyright Your WebSite.Some Rights Reserved.

发表评论