PEB_WALK_AND_API_OBFUscation_inyection
Esta explotación utiliza la técnica PEB Walk para resolver las llamadas de API dinámicamente y ofuscan todas las llamadas de API para realizar la inyección de procesos. Estos tecnología ayudarán a evitar el análisis estático de las soluciones AV/EDR.
Caminata
Para describir el proceso, la caminata PEB para resolver las direcciones de LoadLibrarya y GetProcaddress es la siguiente:
- Obtenga y acceda a la estructura PEB del proceso actual.
- Navegue a la estructura PEB_LDR_DATA utilizando el miembro LDR del PEB.
- Iterar a través del EngloadOrderModuleList para localizar el LDR_DATA_TABLE_ENTRY para kernel32.dll.
- Una vez que se encuentra la entrada para kernel32.dll, extraiga su dirección base.
- Analice manualmente la tabla de exportación de kernel32.dll para resolver las direcciones de LoadLibrarya y GetProcaddress.
Inyección
- Obtenga el manejo del proceso utilizando OpenProcess.
- Asignar la región de memoria RWX en un proceso remoto utilizando VirtuaAllocex
- Escribe ShellCode en región asignada usando WriteProcessMemory
- Cree un hilo para ejecutar shellcode usando crereateremotethread.
Solo para propósitos educionales
