PEB_WALK_AND_API_OBFUSCATION_INJECTION

Этот эксплойт использует технику ходьбы PEB для динамического разрешения вызовов API и запугивания всех вызовов API для выполнения впрыска процесса. Эти технологии помогут обойти статический анализ решений AV/EDR.

Чтобы обрисовать процесс, PEB Прогулка для разрешения адресов Loadlibrarya и GetProcadDress выглядит следующим образом:

• Получить и получить доступ к структуре PEB текущего процесса.
• Перейдите к структуре PEB_LDR_DATA, используя член LDR PEB.
• Итерация через inloadordermodulelist, чтобы найти LDR_DATA_TABLE_ENTRY для KERNEL32.dll.
• После того, как вход для Kernel32.dll будет найдена, извлеките его базовый адрес.
• Вручную проанализируйте экспортную таблицу kernel32.dll, чтобы разрешить адреса Loadlibrarya и GetProcadDress.

1. Получите ручку процесса, используя OpenProcess.
2. Выделите область памяти RWX в удаленном процессе, используя Virtuaallocex
3. Записать SheltCode в выделенную область с использованием writeprocessmemory
4. Создайте поток для выполнения SheltCode с помощью CreaterEmotethread.