PEB_WALK_AND_API_OBFUSCATION_INJECTION

Mit dieser Exploit verwendet die Peb Walk -Technik, um API -Aufrufe dynamisch aufzulösen und alle API -Aufrufe zu verschleiern, um die Prozesseinspritzung durchzuführen. Diese Techniken werden dazu beitragen, die statische Analyse von AV/EDR -Lösungen zu umgehen.

Um den Prozess zu skizzieren, ist der Peb Walk zur Lösung der Adressen von Loadlibrarya und GetProcaddress wie folgt:

• Erhalten Sie die PEB -Struktur des aktuellen Prozesses.
• Navigieren Sie mit dem LDR -Mitglied des PEB zur Struktur von Peb_Indr_Data.
• Iterieren Sie durch die InloadorderModulelist, um die LDR_DATA_TABLE_ENTRY für Kernel32.dll zu finden.
• Sobald der Eintrag für kernel32.dll gefunden wurde, extrahieren Sie seine Basisadresse.
• Analysieren Sie manuell die Exporttabelle von Kernel32.dll, um die Adressen von Loadlibrarya aufzulösen und Procaddress zu erhalten.

1. Erhalten Sie den Prozess mit OpenProcess.
2. RWX -Speicherregion im Remote -Prozess mithilfe von virtuaallocex zuweisen
3. Schreiben Sie Shellcode in zugewiesene Region mit writeProcessMemory in die zugewiesene Region
4. Erstellen Sie einen Thread, um ShellCode mit CreateRemotethread auszuführen.