进程注入 | CN-SEC 中文网

安全文章

探讨进程注入：CONTEXT-Only

在基本的远程进程注入中，EDR会监视这经典的三个迹象：给进程分配新的内存：VirtualAllocEx修改此进程的内存：WriteProcessMemory、VirtualProtectEx执行：Cr...

06月10日14 views评论

阅读全文

安全文章

新型进程注入技术: 仅使用 CONTEXT 的无痕攻击面

New Process Injection Class The CONTEXT-Only Attack Surface作者：Yehuda Smirnov, Hoshea Yarden, Hai Vak...

05月18日21 views评论

阅读全文

程序逆向

以网易云音乐为例，教你用Dependencies+VS快速生成恶意DLL，通过进程注入触发计算器弹窗！（x64与x86通杀技巧）

dll劫持——白加黑x64和x86通杀教程★这期方法还是基于上面这篇文章为主，个人也是踩了很多坑才搞定（篇幅有限原文我已经和工具放在一起了，公众号后台回复“白加黑”获取）寻找白文件1.打开网易云音乐的...

05月18日20 views评论

阅读全文

安全文章

新的进程注入类：仅上下文攻击面

TL;DR大多数进程注入技术都遵循一个熟悉的模式：分配→写入→执行。在这项研究中，我们问：如果我们完全跳过分配和写入会怎样？通过关注仅执行原语，我们发现了无需分配/写入内存即可注入代码的不同方法：仅 ...

05月18日40 views评论

阅读全文

安全文章

线程劫持

等待线程劫持技术是一种隐秘的进程注入方法，它会劫持目标进程中的等待线程来执行 Shellcode。它通过操纵线程的返回地址来规避 SuspendThread 或 SetThreadContext 等常...

05月13日24 views评论

阅读全文

安全文章

KernelCallbackTable 注入的冒险

最近，我发现了KernelCallbackTable一种可以被滥用来向远程进程注入shellcode的方法。FinFisher /FinSpy和Lazarus都使用过这种进程注入方法。这篇文章介绍了我...

05月09日18 views评论

阅读全文

安全工具

Rust 中的等待线程劫持。特别感谢 @hasherezade 为了出色的 PoC

04月25日26 views评论

阅读全文

程序逆向

通过数据指针进行控制流劫持

在执行进程注入时，构成行为特征的最重要的 IOC 之一就是将执行权交给我们的 Shellcode。虽然实现这一目标的技术有很多，而且这当然不是什么纯粹的“新”技术——但在这篇文章中，我不仅想展示一种“...

04月21日24 views评论

阅读全文

安全文章

等待线程劫持：线程执行劫持的更隐蔽版本

【翻译】WAITING THREAD HIJACKING A STEALTHIER VERSION OF THREAD EXECUTION HIJACKING要点进程注入（Process Inject...

04月16日42 views评论

阅读全文

制度法规

《入侵生命周期细分实践指南系列》：进程注入攻击

美创科技为了更好地进行入侵检测和防御，参照各种安全威胁框架和自身的实践与思考，提出了基于入侵生命周期的攻击管理模型，作为美创新一代安全架构的三大支柱之一。入侵生命周期v1.0把入侵过程划分为7个阶段：...

02月24日45 views评论

阅读全文

安全新闻

2024年TOP 10 MITRE ATT&CK攻击技术全景解析

MITRE ATT&CK 框架已成为全球网络安全防御的通用语言。塞讯安全实验室发现，2024 年攻击者更依赖“隐蔽性”和“自动化”技术，93%的攻击集中于十大核心手段。本文从技术原理、攻击案例...

02月12日35 views评论

阅读全文

安全文章

浏览器如何阻止进程注入的 RWX 执行

How is my Browser blocking RWX execution在测试 payload 时，我偶然发现了一个流行浏览器实现的安全功能，它的行为类似于 EDR。通过钩取关键的 Windo...

01月11日11 views评论

阅读全文