type
status
date
slug
summary
tags
category
icon
password
引言:
本人从业收集的多种进程注入原理和源码。收集这些处于个人学习需要以及多环境下的自动化需要。纯C++二进制聚合编译的话文件大小只需要3mb。
技术名称 | 完成进度 | 链接(为空代表常见项目、百度可查) |
CreateRemoteThread Shellcode Injection | 已完成 | ㅤ |
DLL Injection | 已完成 | ㅤ |
Reflective DLL Injection | 已完成 | ㅤ |
Shellcode Reflective DLL Injection | 已完成 | ㅤ |
Process Doppelganging | 已完成 | ㅤ |
Loading and Executing Shellcode From PE Resources | 已完成 | ㅤ |
Process Hollowing and Portable Executable Relocations | 已完成 | ㅤ |
APC Queue Code Injection | 已完成 | ㅤ |
Early Bird APC Queue Code Injection | 已完成 | ㅤ |
Shellcode Execution in a Local Process with QueueUserAPC and NtTestAlert | 已完成 | ㅤ |
Shellcode Execution through Fibers | 已完成 | ㅤ |
Shellcode Execution via CreateThreadpoolWait | 已完成 | ㅤ |
Local Shellcode Execution without Windows APIs | 已完成 | ㅤ |
Injecting to Remote Process via Thread Hijacking | 已完成 | v0.0.5 |
SetWindowHookEx Code Injection | 已完成 | ㅤ |
Finding Kernel32 Base and Function Addresses in Shellcode | 已完成 | ㅤ |
Executing Shellcode with Inline Assembly in C/C++ | 已完成 | ㅤ |
Writing Custom Shellcode Encoders and Decoders | 已完成 | ㅤ |
Backdooring PE Files with Shellcode | 已完成 | ㅤ |
NtCreateSection + NtMapViewOfSection Code Injection | 已完成 | ㅤ |
AddressOfEntryPoint Code Injection without VirtualAllocEx RWX | 已完成 | ㅤ |
Module Stomping for Shellcode Injection | 已完成 | ㅤ |
PE Injection: Executing PEs inside Remote Processes | 已完成 | ㅤ |
API Monitoring and Hooking for Offensive Tooling | 已完成 | ㅤ |
Windows API Hooking | 已完成 | ㅤ |
Import Adress Table (IAT) Hooking | 已完成 | ㅤ |
DLL Injection via a Custom .NET Garbage Collector | 已完成 | ㅤ |
Writing and Compiling Shellcode in C | 已完成 | 属于前置开发选项 |
Injecting .NET Assembly to an Unmanaged Process | 已完成 | ㅤ |
Binary Exploitation | 已完成 | ㅤ |
pool party | 已完成 | 你永远难以忘记的pool party:用windows线程池的新进程注入技术 - 先知社区 (aliyun.com)blackhat |
TLS callback inject | 已完成 | 进程注入Process Injection之Thread Local Storage——常用在恶意软件反调试,在OEP前检测是否有调试器存在进而exit程序 - bonelee - 博客园 (cnblogs.com) |
ListPlanting | 已完成 | 进程注入之ListPlanting——滥用listview控件的消息回调函数 - bonelee - 博客园 (cnblogs.com) |
Extra Window Memory | 已完成 | 进程注入之Extra Window Memory(额外窗口内存)注入——利用用户自定义的数据注入恶意代码 - bonelee - 博客园 (cnblogs.com) |
Asynchronous Procedure Call | 已完成 | https://www.cnblogs.com/bonelee/p/17705390.html |
Transacted Hollowing | 已完成 | 个人项目ALL in ONE |
Process Overwriting | 已完成 | Process Hollowing 的另一种用法 - Process Overwriting-DecoyMini 技术交流社区 - Powered by Discuz! (decoyit.com) |
loacal API x 13 | 已完成 | 新增13个loacalAPI 详见我之前的博客文章vt全免杀加载器 - CD_blog (cdxiaodong.github.io) |
pagetableinject | 已完成 | kkent030315/PageTableInjection:代码注入,通过 pagetables pml4 注入恶意负载。 (github.com) |
threadless | 已完成 | 新型远程注入手法-Threadless inject (qq.com) |
外挂:主线程挂接 | 已完成 | 就是把自己的逻辑放在游戏主循环或者收发包里跑一个东西 只hook不起新的线程 |
跨会话激活机制远程调用com实现进程注入 | 已完成 | CICADA8-Research/IHxExec:工艺注入替代方案 (github.com) |
ROP进程注入 | 已完成 | Bw3ll/ROP_ROCKET:ROP ROCKET 是一种高级代码重用攻击框架,具有广泛的 ROP 链生成功能,包括新颖的 Windows Syscalls 攻击、新颖的天堂之门和 "无壳 "ROP。该框架利用仿真和混淆来帮助扩大攻击面。 --- Bw3ll/ROP_ROCKET: ROP ROCKET is an advanced code-reuse attack framework, with extensive ROP chain generation capabilities, including for novel Windows Syscalls attack, a novel Heaven's Gate, and "shellcodeless" ROP. The framework utilizes emulation and obfuscation to help expand the attack surface. (github.com) |
setwindowshook 注入 需要相应程序没有开启CFG | 未完成 | https://mp.weixin.qq.com/s/mp_FcnPpvTEFPQ4LvBSE-A
他不是完全不能检测,如果EDR采集了窗口数据源,或者像xxx一样有核晶或者infinityhook的话,就非常容易检测了,所幸,win32k数据源,hypervisor,infinityhook这三个已经成为大部分安全软件的基础设施组件了.所以检测起来不难.就拿EDR来说,他的检测结果跟之前的APT的检测结果完全一样,就是因为EDR采集了win32k数据源 |
FrostLock 注入 | 未完成 | FrostLock 注入是一种基于冻结/解冻的代码注入技术,它使用 Windows 作业对象暂时冻结(挂起)目标进程,注入 shellcode,然后无缝地恢复(解冻)该进程。 |
Indirect-Shellcode-Executor | 未完成 | Indirect-Shellcode-Executor 利用了 DarkCoderSc 发现的 API Windows 方法 ReadProcessMemory 中存在的配置错误/漏洞。它利用了名为 *lpNumberOfBytesRead 的输入/输出指针参数的特性,使得攻击者无需调用诸如 memcpy 之类的常用 API 方法即可写入进程内存,这堪称完美。 |
