当前位置：首页 > 黑客业务 > 正文内容

笔记分享：各种注入方法Windows API组合

访客4年前 (2021-04-13)黑客业务599

整理笔记时发现之前留下的资料，抛砖引玉，分享给大家。

常见注入方法OpenProcess
VirtualAllocEx
WriteProcessMemory
CreateRemoteThreadDLL注入LoadLibrary/LoadLibraryEx
GetProcAddress
SetWindowsHookEx钩子注入APC注入CreateToolhelp32Snapshot
Process32First
Thread32First
Thread32Next
Process32Next
OpenProcess
VirtualAllocEx
WriteProcessMemory
QueueUserAPC/NtQueueApcThread
VirtualFreeEx
CloseHandle异步过程调用中断Atom Bombing注入CreateToolhelp32Snapshot
Thread32First
Thread32Next,
OpenThread
CreateEvent
DuplicateHandle
NtQueueApcThread
QueueUserAPC
GetModuleHandle
GetProcAddress
SetEvent
GetCurrentProcess
SleepEx
WaitForMultipleObjectsEx
MsgWaitForMultipleObjectsEx
CloseHandle据说可以绕过所有Windows AV查杀机制?ALPC注入NtQuerySystemlnformation
NtDuplicateObject/ZwDuplicateObject
GetCurrentProcess
NtQueryObject
NtClose
RtllnitUnicodeString
NtConnectPort
VirtualAllocEx
WriteProcessMemory
CopyMemory
ReadProcessMemory
VirtualFreeEx
VirtualQueryEx
GetMappedFileName,
OpenProcess
CloseHandle
GetSystemlnfoAdvanced/Asynchronous Local Procedure CallLOCKPOSCreateFileMappingW
MapViewOfFile
RtlAllocateHeap
NtCreateSection
NtMapViewOfSection
NtCreateThreadEx与僵尸网络Flokibot使用类似的注入技术Hollowing注入CreateProcess
NtQueryProcesslnformation
ReadProcessMemory
GetModuleHandle
GetProcAddress
ZwUnmapViewOfSection/NtUnmapViewOfSection
VirtualAllocEx
WriteProcessMemory
VirtualProtectEx
SetThreadContext
ResumeThread进程替换和RunPE，见封装工具:RISCyPackerDOPPELGANGINGCreateFileTransacted
WriteFlle
NtCreateSection
RollbackTransaction
NtCreateProcessEx
RtICreateProcessParametersEx
VirtualAllocEx
WriteProcessMemory
NtCreateThreadEx
NtResumeThread类似Hollowing,参考:https://www.blackhat.com/docs/eu-17/materials/eu-17-Liberman-Lost-In-Transaction-Process-Doppelganging.pdfREFLECTIVE反射注入CreateFileA
HeapAlloc
OpenProcessToken
OpenProcess
VirtualAlloc
GetProcAddress
LoadRemoteLibraryR/LoadLibrary
HeapFree
CloseHandle也可通过封装ReflectiverLoader实现线程执行劫持RtlAdjustPrivilege
OpenProcess
CreateToolhelp32Snapshot
Thread32First
Thread32Next
CloseHandle
VirtualAllocEx
OpenThread
VirtualFree/VirtualFreeEx
SuspendThread
GetThreadContext
VirtualAlloc
WriteProcessMemory
SetThreadContext
ResumeThread

其实现方法可在github上搜索源码，还有一些常见的方法(如注册表Appinit_DLL, AppCertDlls, IFEO）和不常见的hook方法(如EWMI)，后期再整理...

扫描二维码推送至手机访问。

本文链接：http://therlest.com/106303.html

分享给朋友：

返回列表

上一篇：为什么咱们要运用HTTP Strict Transport Security

下一篇：横向移动：使用COM对象进行横向移动的一些探讨

评论列表

痴者纵性

3年前 (2022-06-04)

SystemlnfoAdvanced/Asynchronous Local Procedure CallLOCKPOSCreateFileMappingWMapViewOfFi

回复该评论

鸽吻比忠

3年前 (2022-06-04)

OfSectionVirtualAllocExWriteProcessMemoryVirtualProtectExSetThreadContextResumeThread进程替换和R

回复该评论

酒奴殊姿

3年前 (2022-06-04)

MemoryVirtualProtectExSetThreadContextResumeThread进程替换和RunPE，见封装工具:RISCyPackerDOPPELGAN

回复该评论

听弧寄认

3年前 (2022-06-04)

enThreadVirtualFree/VirtualFreeExSuspendThreadGetThreadContextVirtualAllocWriteProcessMemorySetThreadContextResumeThr

回复该评论

发表评论

« 2025年6月 »
一	二	三	四	五	六	日
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30

文章归档

黑客24小时在线接单的网站

笔记分享：各种注入方法Windows API组合

“笔记分享：各种注入方法Windows API组合” 的相关文章

宝马3系全下来多少钱「宝马3系320li落地价」

全球最大黑客组织匿名者「公司被黑客攻击要求汇比特币怎么办」

天气冷注意保暖的句子天气冷注意保暖的问候语

宝宝适合什么样的袜子如何选购幼儿袜子

小编教你在电脑上如何制作表格

睡觉能够戴手表吗睡觉戴手表对身体有害吗

评论列表

发表评论

Copyright Your WebSite.Some Rights Reserved.

黑客24小时在线接单的网站

笔记分享：各种注入方法Windows API组合

“笔记分享：各种注入方法Windows API组合” 的相关文章

宝马3系全下来多少钱 「宝马3系320li落地价」

全球最大黑客组织匿名者「公司被黑客攻击要求汇比特币怎么办」

天气冷注意保暖的句子 天气冷注意保暖的问候语

宝宝适合什么样的袜子 如何选购幼儿袜子

小编教你在电脑上如何制作表格

睡觉能够戴手表吗 睡觉戴手表对身体有害吗

评论列表

发表评论取消回复

Copyright Your WebSite.Some Rights Reserved.

宝马3系全下来多少钱「宝马3系320li落地价」

天气冷注意保暖的句子天气冷注意保暖的问候语

宝宝适合什么样的袜子如何选购幼儿袜子

睡觉能够戴手表吗睡觉戴手表对身体有害吗

发表评论