首頁>JSP源碼>其他類別
下載

peb_walk_and_api_obfuscation_invistion

這種利用使用PEB Walk技術動態解析API調用,並混淆所有API調用以執行過程注入。這些技術將有助於繞過AV/EDR解決方案的靜態分析。

鵝走路

要概述該過程,PEB步行以解決LoadLibrarya和GetProcaddress的地址如下:

  • 獲取並訪問當前過程的PEB結構。
  • 使用PEB的LDR成員導航到PEB_LDR_DATA結構。
  • 通過inloadorderModulelist迭代,以找到kernel32.dll的ldr_data_table_entry。
  • 找到kernel32.dll的輸入後,提取其基礎地址。
  • 手動解析kernel32.dll的導出表以解決LoadLibrarya和getProcaddress的地址。

注射

  1. 使用OpenProcess獲取過程的處理。
  2. 使用VirtuaalloCex在遠程進程中分配RWX內存區域
  3. 使用WriteProcessMemory將ShellCode寫入分配的區域
  4. 創建一個線程以使用CreateMoteThread執行殼牌。

僅出於居式目的

展開
附加信息
相關應用
爲您推薦
相關資訊 全部