傀儡进程注入

免责声明

文章所涉及内容，仅供安全研究教学使用，由于传播、利用本文所提供的信息而造成的任何直接或间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任

前言

傀儡进程注入是一种恶意行为，旨在通过将恶意代码注入到系统中，来控制系统或执行恶意操作。注入的恶意代码通常会隐藏在系统的正常进程中，以避免被检测和清除。傀儡进程注入可以用于以下几种功能：

1. 隐藏恶意活动：通过将恶意代码注入到合法进程中，使得恶意活动更难被检测和清除。这种方式可以绕过一些安全防护机制，增加攻击的成功率。

2. 绕过安全检测：由于恶意代码隐藏在正常进程中，因此可以绕过一些安全软件的检测，如杀毒软件或入侵检测系统（IDS）。

3. 执行远程命令：通过注入恶意代码，攻击者可以远程控制系统，执行各种恶意操作，如数据窃取、文件删除等。

其实傀儡进程注入与远程线程注入很接近，但仍有差异，所使用到的函数也与远程线程注入并无差异。

接下来我们通过代码来进行查看:

通过代码实现以后我们能轻松绕过火绒，但是此处我们使用了将shellcode放在.exe中所以熵值可能过大，建议向代码中加入垃圾数据，以降低熵值，或是添加资源文件，也可以添加签名等等，手段很多根据具体情况来看。

下面是上线效果;

可以看到火绒没有任何反应，代码中可以有些地方不好理解，读者大大可以自行上网查阅。

原文始发于微信公众号（泾弦安全）：傀儡进程注入