Peb_walk_and_api_obfuscation_injection
Essa exploração usa a técnica de caminhada PEB para resolver chamadas de API dinamicamente e ofuscar todas as chamadas da API para executar a injeção de processo. Esses Technqies ajudarão a ignorar a análise estática das soluções AV/EDR.
PEB Walk
Para delinear o processo, o PEB Walk para resolver os endereços do LoadLibrarya e GetProcaddress é o seguinte:
- Obtenha e acesse a estrutura PEB do processo atual.
- Navegue até a estrutura PEB_LDR_DATA usando o membro LDR do PEB.
- Itere através do InloaderDorderModulelist para localizar o ldr_data_table_entry para kernel32.dll.
- Depois que a entrada para Kernel32.dll for encontrada, extraia seu endereço base.
- Analise manualmente a tabela de exportação do kernel32.dll para resolver os endereços do loadlibrarya e getProcaddress.
Injeção
- Obtenha o controle do processo usando o OpenProcess.
- Alocar região de memória RWX em processo remoto usando VirtuaAlleCex
- Escreva shellcode na região alocada usando WriteProcessMemory
- Crie um thread para executar o código de shell usando o CreateremOteThread.
Apenas para fins educacionais
