0x00前言RT,最近正在学习DLL注入。尝试写篇总结0x01正文什么是远程线程注入?远程线程注入是指一个进程在另一个进程中创建线程的技术。前置的一些知识CreateToolhelp32Snapsho...
免杀系列 - 无法让管理员找到你的木马进程
前言 进程镂空(Process Hollowing),又称为“傀儡进程”,是一种恶意软件(malware)利用的代码注入技术。它主要用于将恶意代码注入到合法进程中,以规避安全检测、提高恶...
钓鱼 | 蓝队—反钓鱼的策略提供
原文链接:https://xz.aliyun.com/t/16858 作者:Bat-Hibara 0x1 前言鄙人最近在某某群中寻找到了一个不知道谁的后门,心血来潮写下此文,以此提供一些蓝队简易反钓鱼...
蓝队反钓鱼的策略提供
一、前言鄙人最近在某某群中寻找到了一个不知道谁的后门,心血来潮写下此文,以此提供一些蓝队简易反钓鱼的策略ps.(下篇文章就写红队如何高概率钓鱼,期待一下)本文所用环境:VS2022二、总思路通过对IP...
记一次蓝队—反钓鱼的策略研究
原文首发在:先知社区https://xz.aliyun.com/t/16858一·前言鄙人最近在某某群中寻找到了一个不知道谁的后门,心血来潮写下此文,以此提供一些蓝队简易反钓鱼的策略ps.(下篇文章就...
进程注入:利用 Shellcode 的强大功能
进程注入进程注入是一种先进的渗透测试技术,由经验丰富的渗透测试人员使用,将恶意代码引入非恶意进程,在没有检测和响应解决方案的情况下秘密渗透。进程注入也称为 shellcode 注入,它采用各种机制和方...
傀儡进程的那些事
0x01 前言 进程的执行很容易被发现,在不利用驱动或者漏洞的情况下,在3环通过傀儡进程的方式实现进程隐藏,这种技术虽然很久之前就有了,但是和其他的免杀技术相结合也会达到很不错的效果,这种技术的...
使用内核回调表进程注入
攻击者可以劫持进程环境块 (PEB) 中的内核回调表,以重定向进程的执行流,从而使他们能够执行恶意负载。此方法允许攻击者通过将合法函数指针替换为恶意函数指针(通常由 Windows 消息触发)来保持持...
隐秘进程注入:新内核回调表技术曝光
引言进程环境块(PEB)中的内核回调表可以被攻击者劫持,以重定向进程的执行流,使他们能够执行恶意有效载荷。这种方法允许对手通过替换合法的函数指针与恶意的来维持持久性,通常由Windows消息触发。MI...
【翻译】用于进程注入的内核回调表
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。原文地址:https://github.com/0xH...
DLL劫持与攻击利用
DLL基础DLL全称Dynamic Link Library,称为动态链接库,允许多个应用程序共享代码和资源,支持按需加载功能,从而提高内存利用率、简化更新和维护。大多数程序并不是一个单独的可执行文件...
免杀 | 6种进程注入的方式
注入方式根据各阶段调用的API,读写的内存位置的区别进行 如下分类(实战中常用的 6 种):1、远程线程注入image-20230410210651326原始的注入手法。通过API申请空间,然后将co...