首页>JSP源码>其他类别
下载

peb_walk_and_api_obfuscation_invistion

这种利用使用PEB Walk技术动态解析API调用,并混淆所有API调用以执行过程注入。这些技术将有助于绕过AV/EDR解决方案的静态分析。

鹅走路

要概述该过程,PEB步行以解决LoadLibrarya和GetProcaddress的地址如下:

  • 获取并访问当前过程的PEB结构。
  • 使用PEB的LDR成员导航到PEB_LDR_DATA结构。
  • 通过inloadorderModulelist迭代,以找到kernel32.dll的ldr_data_table_entry。
  • 找到kernel32.dll的输入后,提取其基础地址。
  • 手动解析kernel32.dll的导出表以解决LoadLibrarya和getProcaddress的地址。

注射

  1. 使用OpenProcess获取过程的处理。
  2. 使用VirtuaalloCex在远程进程中分配RWX内存区域
  3. 使用WriteProcessMemory将ShellCode写入分配的区域
  4. 创建一个线程以使用CreateMoteThread执行壳牌。

仅出于居式目的

展开
附加信息
相关应用
为您推荐
相关资讯 全部