process inject

การฉีดยาในระยะสั้นคือการฉีดรหัสเข้าไปในพื้นที่หน่วยความจำกระบวนการที่กำลังทำงานอยู่

Windows จัดสรรพื้นที่หน่วยความจำ 4G สำหรับแต่ละกระบวนการและรหัสในพื้นที่ 4G นี้สามารถเข้าถึงและดำเนินการโดยกระบวนการนี้ "แพทช์" ซอฟต์แวร์นี้เป็นการฉีดยาจริง ๆ
นอกจากนี้ยังมีแฮ็กเกอร์จำนวนมากที่ใช้การฉีดกระบวนการเพื่อฉีดรหัสที่เป็นอันตรายลงในกระบวนการเป้าหมายสำหรับการโจมตี

วิธีการฉีดกระบวนการที่ใช้กันทั่วไปในสภาพแวดล้อมของ Windows รวมถึง: CreateMotetHread, Apcinject, SuspendThread, SetWindowHookex ฯลฯ
นอกจากนี้ฉันได้เรียนรู้วิธีการฉีดที่ค่อนข้างเป็นเอกลักษณ์: การฉีดสะท้อน การฉีดสะท้อนกลับส่วนใหญ่ใช้เพื่อใช้การฉีดผ่านการดำเนินการในไฟล์ PE ด้วยอัตราความสำเร็จในการฉีดสูงและการเรียนรู้ที่มีค่าที่สุด

• เปิดกระบวนการเป้าหมาย ( OpneProcess )
• ใช้พื้นที่ (VirtualAllocex) ภายในเส้นทางเพื่อรับพื้นที่กระบวนการเป้าหมาย ( VirtualAllocEX )
• เขียน DLL Road Force ลงในพื้นที่กระบวนการเป้าหมาย ( WriteProcessMemory )
• สร้างเธรดระยะไกล ( CreateRemoteThread ) รับที่อยู่ฟังก์ชั่นของ LoadLibrary ( GetProcAddress ) จาก Kenerl32 และผ่านเส้นทางไลบรารีแบบไดนามิกที่เขียนไปยังกระบวนการเป้าหมายไปยัง LoadLibrary เป็นพารามิเตอร์
• รอให้เธรดระยะไกลสิ้นสุด ( WaitForSingleObejct ) ปลดปล่อยหน่วยความจำและปิดที่จับ

• CreateProcess ตั้งค่าพารามิเตอร์ที่หกเพื่อระงับ
• ใช้สำหรับหน่วยความจำสำหรับเส้นทาง DLL และ ShellCode ในพื้นที่ที่อยู่กระบวนการ
• รับข้อความพื้นหลังของเธรดหลักและสร้างเชลล์ตาม EIP ของเธรด
• เขียนเส้นทาง DLL และ ShellCode ลงในกระบวนการเป้าหมาย ปลุกเธรดที่ถูกระงับ

• ใช้หน่วยความจำในพื้นที่กระบวนการเป้าหมายและเขียนเส้นทางไลบรารีแบบไดนามิก
• สร้างภาพรวมเพื่อสำรวจเธรดของกระบวนการเป้าหมาย
• เธรดที่เปิดกระบวนการเป้าหมายใช้ฟังก์ชัน QueueUserAPC เพื่อเพิ่มฟังก์ชัน LoadLibrary เป็นวัตถุ APC ไปยังคิว APC ของเธรดและผ่านเส้นทางของ DLL เป็นพารามิเตอร์ ให้ความสนใจกับการปลดปล่อยที่จับและหน่วยความจำ

แนวคิดโดยรวมคือการใช้ฟังก์ชั่น loadlibrary ที่โหลดไลบรารีแบบไดนามิกใน DLL และโหลดตัวเองลงในกระบวนการเป้าหมาย

• เปิดไฟล์ DLL และรับขนาด
• สมัครสำหรับหน่วยความจำในโปรแกรมของคุณเองและเขียนข้อมูลของ DLL ปรับปรุงการอนุญาตของคุณเอง
• เปิดกระบวนการเป้าหมายและโหลดไลบรารีแบบไดนามิก

ฟังก์ชั่น Loadibrary ถูกนำไปใช้โดยการแก้ไขไฟล์ PE:
1. เขียน DLL ในพื้นที่แอปพลิเคชันของพื้นที่ที่อยู่กระบวนการเป้าหมาย
2. รับที่อยู่ของฟังก์ชั่นที่โหลดของตัวเองในไฟล์ที่ใช้ใน DLL สร้างเธรดระยะไกลและส่งที่อยู่ของฟังก์ชั่นใน ฟังก์ชั่นโหลดตัวเองใน DLL ก็ถูกนำมาใช้อย่างชาญฉลาด

• ขั้นแรกให้รับที่อยู่ฟังก์ชั่นการส่งออกในไลบรารีแบบไดนามิก
• รับรหัสเธรดของกระบวนการเป้าหมาย
• การฉีดโดยใช้ฟังก์ชั่น setWindowsHookEX

ระบบปฏิบัติการ Windows, VS2015
การทดสอบทั้งสองถูกส่งผ่านในระบบ Windows 32 บิตและระบบ Windows 64 บิต

 .
|-- APCInject(Ring0)                 // 驱动层的APC注入
|-- APCInject                        // Ring3层的APC注入
|-- CreateSuspend                    // 挂起线程注入
|-- InjectByRegister                 // 注册表注入（未测试）
|-- ReflectDll                       // 反射注入的Dll
|-- ReflectiveInject                 // 反射注入
|-- RemoteThread                     // 远程线程注入
|-- Src                              // 驱动层的APC注入源码
|-- Dll.dll                          // 32位测试Dll
|-- Dll64.dll                        // 64位测试Dll
|-- Process-Inject.sln               // 项目启动文件
|-- README.md                        // 项目说明文件
.

ยินดีต้อนรับสู่การดึงคำขอและยินดีต้อนรับสู่การขอปัญหา

เมื่อตีความงานนี้โปรดลงชื่อและแบ่งปันในลักษณะเดียวกัน