PEB_WALK_AND_API_OBFUSCATION_INJECTION

このエクスプロイトは、PEBウォークテクニックを使用してAPI呼び出しを動的に解決し、すべてのAPI呼び出しを難読化してプロセスインジェクションを実行します。これらの技術は、AV/EDRソリューションの静的分析をバイパスするのに役立ちます。

プロセスの概要を説明するために、LoadLibraryaとGetProcAddressのアドレスを解決するためのPEBウォークは次のとおりです。

• 現在のプロセスのPEB構造を取得してアクセスします。
• PEBのLDRメンバーを使用して、PEB_LDR_DATA構造に移動します。
• inloadOrderModuleListを介して反復して、kernel32.dllのLDR_DATA_TABLE_ENTRYを見つけます。
• kernel32.dllのエントリが見つかったら、ベースアドレスを抽出します。
• cernel32.dllの輸出テーブルを手動で解析して、LoadLibraryaとGetProcAddressのアドレスを解決します。

1. OpenProcessを使用してプロセスのハンドルを取得します。
2. virtuaallocexを使用して、リモートプロセスでRWXメモリ領域を割り当てます
3. writeprocessmemoryを使用して、シェルコードを割り当てられた領域に書き込みます
4. CreatereMotethreadを使用してシェルコードを実行するスレッドを作成します。